แอนตี้ดอท มัลแวร์แอนดรอยด์
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ AntiDot ซึ่งเป็นมัลแวร์ที่ซับซ้อนในระบบปฏิบัติการแอนดรอยด์ที่แพร่ระบาดไปยังอุปกรณ์หลายพันเครื่องจากแคมเปญอันตรายหลายร้อยรายการ มัลแวร์นี้มีความเชื่อมโยงกับผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ LARVA-398 และแสดงให้เห็นถึงอันตรายที่เพิ่มมากขึ้นจากการให้บริการ Malware-as-a-Service (MaaS) บนมือถือบนเว็บมืด
สารบัญ
ภัยคุกคามที่เพิ่มมากขึ้น: ขนาดและขอบเขตของการโจมตี
AntiDot มีส่วนเกี่ยวข้องกับแคมเปญที่แตกต่างกัน 273 แคมเปญ ซึ่งโจมตีอุปกรณ์ Android มากกว่า 3,775 เครื่อง แคมเปญเหล่านี้มีเป้าหมายชัดเจน โดยมักจะขึ้นอยู่กับภาษาและตำแหน่งทางภูมิศาสตร์ ซึ่งบ่งชี้ถึงการสร้างโปรไฟล์เหยื่อแบบเลือกเฉพาะ มัลแวร์แพร่กระจายโดยหลักผ่านเครือข่ายโฆษณาที่เป็นอันตรายและแคมเปญฟิชชิ่ง รวมถึงการอัปเดต Google Play ปลอม
MaaS สำหรับมือถือ: รูปแบบธุรกิจของ LARVA-398
AntiDot ซึ่งทำการตลาดในรูปแบบโซลูชัน "สามในหนึ่ง" มีจำหน่ายในฟอรัมใต้ดิน โดยมอบชุดเครื่องมืออันทรงพลังให้กับผู้ก่อภัยคุกคามเพื่อ:
- การบันทึกหน้าจอผ่านการละเมิดการเข้าถึง
- การสกัดกั้น SMS
- การดึงข้อมูลจากแอปของบุคคลที่สาม
การค้าขายดังกล่าวทำให้กลุ่มอาชญากรทางไซเบอร์เข้าถึงได้มากขึ้น ส่งผลให้การโจมตีขั้นสูงในอุปกรณ์เคลื่อนที่มีอุปสรรคน้อยลง
ความสามารถขั้นสูง: สิ่งที่ AntiDot สามารถทำได้
AntiDot มาพร้อมความสามารถที่เป็นอันตรายมากมาย ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างต่อเนื่องและแอบซ่อนอยู่ โดยจะทำการโจมตีแบบซ้อนหน้าจอด้วยการแสดงหน้าจอล็อกอินปลอมที่เลียนแบบแอปที่ถูกต้องตามกฎหมาย จึงสามารถขโมยข้อมูลประจำตัวของผู้ใช้ได้ นอกจากนี้ มัลแวร์ยังบันทึกการกดแป้นพิมพ์และตรวจสอบเนื้อหาบนหน้าจอเพื่อรวบรวมข้อมูลที่ละเอียดอ่อน โดยใช้ MediaProjection API ของ Android สามารถควบคุมอุปกรณ์จากระยะไกลได้ พร้อมทั้งรักษาการสื่อสารแบบเรียลไทม์กับเซิร์ฟเวอร์สั่งการและควบคุมผ่านการเชื่อมต่อ WebSocket
AntiDot ใช้ประโยชน์จากบริการการเข้าถึงข้อมูลเพื่อรวบรวมข้อมูลจำนวนมากจากอุปกรณ์และตั้งตัวเองเป็นแอป SMS เริ่มต้นเพื่อสกัดกั้นข้อความขาเข้าและขาออก นอกจากนี้ ยังควบคุมการโทรออกโดยการบล็อกหรือเปลี่ยนเส้นทางการโทร และระงับการแจ้งเตือนเพื่อหลีกเลี่ยงการแจ้งเตือนผู้ใช้ถึงกิจกรรมที่น่าสงสัย คุณสมบัติเหล่านี้ช่วยให้ผู้โจมตีเข้าถึงและควบคุมอุปกรณ์ของเหยื่อได้อย่างครอบคลุม
ห่วงโซ่การส่งมอบ: กระบวนการติดเชื้อสามขั้นตอน
มัลแวร์ถูกส่งมาในรูปแบบหลายขั้นตอน:
ไฟล์ APK เริ่มต้น – เผยแพร่เป็นส่วนหนึ่งของการฟิชชิ่งหรือการอัปเดตปลอม
การโหลดคลาสแบบไดนามิก – คลาสที่บดบังซึ่งไม่มีอยู่ใน APK จะถูกโหลดในระหว่างการติดตั้ง
การดำเนินการไฟล์ DEX – หลังจากได้รับอนุญาตให้เข้าถึงแล้ว มัลแวร์จะแตกและโหลดไฟล์ DEX ที่เป็นอันตรายซึ่งประกอบด้วยโค้ดบอตเน็ต
การใช้แพ็คเกอร์เชิงพาณิชย์และเพย์โหลดที่เข้ารหัสของ AntiDot ขัดขวางการตรวจจับและการวิศวกรรมย้อนกลับอย่างมาก
อินเทอร์เฟซปลอมและการขโมยข้อมูลประจำตัว
กลยุทธ์สำคัญของ AntiDot คือการแสดงหน้าจอเข้าสู่ระบบปลอมเมื่อผู้ใช้เปิดสกุลเงินดิจิทัลหรือแอปทางการเงิน หน้าจอเหล่านี้จะถูกดึงมาแบบเรียลไทม์จากเซิร์ฟเวอร์ Command-and-Control (C2) ช่วยให้ผู้โจมตีสามารถขโมยข้อมูลประจำตัวที่ละเอียดอ่อนได้โดยไม่ทำให้ผู้ใช้เกิดความสงสัย
โครงสร้างพื้นฐาน C2 ของ AntiDot: สร้างมาเพื่อประสิทธิภาพ
แผงควบคุมระยะไกลของมัลแวร์สร้างขึ้นจาก MeteorJS ซึ่งช่วยให้สามารถโต้ตอบกับอุปกรณ์ที่ติดไวรัสได้อย่างราบรื่นแบบเรียลไทม์ แผงควบคุมประกอบด้วยส่วนที่แตกต่างกัน 6 ส่วน ดังนี้
- บอท: แสดงอุปกรณ์ที่ติดไวรัสและข้อมูลเมตาของอุปกรณ์เหล่านั้น
- ฉีด: แสดงรายการแอปเป้าหมายสำหรับการโจมตีแบบโอเวอร์เลย์และเทมเพลต
- วิเคราะห์: ติดตามแอปที่ติดตั้งเพื่อระบุแนวโน้มและเป้าหมายในอนาคต
- การตั้งค่า: ควบคุมพารามิเตอร์การฉีดและพฤติกรรมของมัลแวร์
- Gates: จัดการจุดสิ้นสุดการสื่อสารของบอท
- ความช่วยเหลือ: ให้การสนับสนุนผู้ใช้สำหรับผู้ควบคุมมัลแวร์
เฉพาะที่และคงอยู่: อันตรายที่แท้จริงของ AntiDot
AntiDot เป็นมากกว่าโทรจัน Android ทั่วๆ ไป มันคือแพลตฟอร์ม MaaS ที่ปรับขนาดได้และหลบเลี่ยงการโจมตี ซึ่งมุ่งเน้นไปที่การฉ้อโกงทางการเงินผ่านการกำหนดเป้าหมายเฉพาะพื้นที่ ด้วยเทคนิคต่างๆ เช่น การแทรก WebView การขโมยข้อมูลประจำตัวแบบซ้อนทับ และการสื่อสาร C2 แบบเรียลไทม์ จึงเป็นภัยคุกคามร้ายแรงต่อความเป็นส่วนตัวของผู้ใช้และความปลอดภัยบนมือถือ
นักวิจัยเตือนว่าการรับเอา AntiDot มาใช้เพิ่มมากขึ้นและกลยุทธ์ที่พัฒนาขึ้นเรื่อยๆ เน้นย้ำถึงความจำเป็นอย่างเร่งด่วนในการปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยของ Android การอัปเดตเป็นประจำ และการสร้างการรับรู้ของผู้ใช้ เพื่อต่อสู้กับภัยคุกคามที่แอบแฝงมากขึ้นเรื่อยๆ เช่นนี้
