Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara AntiDot Android-skadlig programvara

AntiDot Android-skadlig programvara

Med Mezo år Mobil skadlig programvara
Översätt till:

Cybersäkerhetsforskare har avslöjat AntiDot, en sofistikerad Android-skadlig kod som har infekterat tusentals enheter i hundratals skadliga kampanjer. Denna skadliga kod, som är kopplad till en hotbild som kallas LARVA-398, illustrerar den växande faran som mobila Malware-as-a-Service (MaaS)-erbjudanden på den mörka webben utgör.

Ett växande hot: Attackens skala och omfattning

AntiDot har kopplats till 273 olika kampanjer, som drabbat över 3 775 Android-enheter. Kampanjerna är mycket riktade och ofta baserade på språk och geografisk plats, vilket tyder på selektiv offerprofilering. Skadlig programvara distribueras främst via skadliga annonsnätverk och nätfiskekampanjer, inklusive falska Google Play-uppdateringar.

MaaS för mobil: LARVA-398:s affärsmodell

AntiDot marknadsförs som en "tre-i-ett"-lösning och säljs på underjordiska forum, vilket ger hotande aktörer en kraftfull verktygslåda för:

  • Skärminspelning via tillgänglighetsmissbruk
  • SMS-avlyssning
  • Datautvinning från tredjepartsappar

Denna kommersialisering har gjort den tillgänglig för ett bredare spektrum av cyberbrottslingar, vilket sänker barriären för att lansera avancerade mobilattacker.

Avancerade funktioner: Vad AntiDot kan göra

AntiDot är utrustat med ett brett utbud av skadliga funktioner som gör det möjligt för angripare att upprätthålla ihållande och smygande kontroll över infekterade enheter. Den utför overlay-attacker genom att visa falska inloggningsskärmar som övertygande imiterar legitima appar och därigenom stjäl användaruppgifter. Skadlig programvara loggar också tangenttryckningar och övervakar skärminnehåll för att fånga känslig information. Med hjälp av Androids MediaProjection API kan den fjärrstyra enheten, samtidigt som den upprätthåller realtidskommunikation med sina kommando- och kontrollservrar via WebSocket-anslutningar.

AntiDot missbrukar tillgänglighetstjänster för att samla in omfattande data från enheten och ställer in sig själv som standardapp för SMS för att avlyssna inkommande och utgående meddelanden. Dessutom manipulerar den telefonsamtal genom att blockera eller omdirigera dem och undertrycker aviseringar för att undvika att varna användaren för misstänkt aktivitet. Tillsammans ger dessa funktioner angriparna omfattande åtkomst och kontroll över offrets enhet.

Leveranskedjan: En infektionsprocess i tre steg

Skadlig programvara levereras i ett flerstegsformat:

Ursprunglig APK-fil – Distribueras som en del av nätfiske eller falska uppdateringar.

Dynamisk klassinläsning – Obfuskerade klasser som inte finns i APK:n laddas under installationen.

DEX-filkörning – Efter att ha fått åtkomstbehörigheter packar skadlig programvara upp och laddar en skadlig DEX-fil som innehåller botnätskoden.

AntiDots användning av kommersiella paketerare och krypterade nyttolaster hindrar avsevärt detektering och reverse engineering.

Falska gränssnitt och stöld av autentiseringsuppgifter

En viktig AntiDot-taktik innebär att visa falska inloggningsskärmar när användare öppnar kryptovaluta- eller finansiella appar. Dessa skärmar hämtas i realtid från en Command-and-Control (C2)-server, vilket gör det möjligt för angripare att fånga känsliga inloggningsuppgifter utan att väcka misstankar hos användarna.

AntiDots C2-infrastruktur: Byggd för effektivitet

Fjärrkontrollpanelen för den skadliga programvaran är byggd på MeteorJS, vilket möjliggör sömlös realtidsinteraktion med infekterade enheter. Panelen innehåller sex olika sektioner:

  • Botar: Visar infekterade enheter och deras metadata
  • Injektioner: Listar målappar för överlagringsattacker och mallar
  • Analytisk: Spårar installerade appar för att identifiera trender och framtida mål
  • Inställningar: Styr injiceringsparametrar och skadlig programvaras beteende
  • Gates: Hanterar botkommunikationsslutpunkter
  • Hjälp: Ger användarsupport för operatörer av skadlig kod

Lokaliserad och ihållande: Den verkliga faran med AntiDot

AntiDot är mer än bara ytterligare en Android-trojan, det är en skalbar, undvikande MaaS-plattform som fokuserar på ekonomiskt bedrägeri genom lokaliserad målgruppsinriktning. Med tekniker som WebView-injektion, overlay-baserad autentiseringsstöld och C2-kommunikation i realtid utgör den ett allvarligt hot mot användarnas integritet och mobilsäkerhet.

Forskare varnar för att AntiDots växande användning och utvecklande taktik belyser det akuta behovet av förbättrade Android-säkerhetspraxis, regelbundna uppdateringar och användarmedvetenhet för att bekämpa alltmer smygande hot som detta.

Trendigt

Mest sedda

Läser in...