AntiDot Android Malware

Ang mga mananaliksik sa cybersecurity ay humiwalay sa AntiDot, isang sopistikadong piraso ng Android malware na nag-impeksyon sa libu-libong device sa daan-daang malisyosong campaign. Naka-link sa isang banta na aktor na kilala bilang LARVA-398, inilalarawan ng malware na ito ang lumalaking panganib na dulot ng mga alok ng mobile Malware-as-a-Service (MaaS) sa dark web.

Isang Lumalagong Banta: Sukat at Saklaw ng Pag-atake

Naugnay ang AntiDot sa 273 natatanging kampanya, na nakompromiso ang mahigit 3,775 na Android device. Ang mga kampanya ay lubos na naka-target, kadalasang nakabatay sa wika at heyograpikong lokasyon, na nagmumungkahi ng pumipili na profile ng biktima. Pangunahing ipinamamahagi ang malware sa pamamagitan ng mga nakakahamak na network ng advertising at mga kampanya sa phishing, kabilang ang mga pekeng update sa Google Play.

MaaS para sa Mobile: Modelo ng Negosyo ng LARVA-398

Ibinebenta bilang isang 'three-in-one' na solusyon, ang AntiDot ay ibinebenta sa mga underground na forum, na nagbibigay sa mga banta ng aktor ng isang makapangyarihang toolkit para sa:

• Pag-record ng screen sa pamamagitan ng pag-abuso sa accessibility
• SMS interception
• Pagkuha ng data mula sa mga third-party na app

Ang komersyalisasyon na ito ay ginawa itong naa-access sa isang mas malawak na hanay ng mga cybercriminal, na nagpapababa sa hadlang para sa paglulunsad ng mga advanced na pag-atake sa mobile.

Mga Advanced na Kakayahan: Ano ang Magagawa ng AntiDot

Ang AntiDot ay nilagyan ng malawak na hanay ng mga nakakahamak na kakayahan na nagbibigay-daan sa mga umaatake na mapanatili ang patuloy at palihim na kontrol sa mga nahawaang device. Nagsasagawa ito ng mga overlay na pag-atake sa pamamagitan ng pagpapakita ng mga pekeng screen sa pag-log in na nakakumbinsi na gayahin ang mga lehitimong app, at sa gayon ay nagnanakaw ng mga kredensyal ng user. Ang malware ay nagla-log din ng mga keystroke at sinusubaybayan ang nilalaman ng screen upang makuha ang sensitibong impormasyon. Gamit ang MediaProjection API ng Android, maaari nitong malayuang kontrolin ang device, habang pinapanatili ang real-time na komunikasyon sa mga command-and-control server nito sa pamamagitan ng mga koneksyon sa WebSocket.

Inaabuso ng AntiDot ang mga serbisyo sa pagiging naa-access upang mangalap ng malawak na data mula sa device at itinakda ang sarili nito bilang default na SMS app upang harangin ang mga papasok at papalabas na mensahe. Bukod pa rito, minamanipula nito ang mga tawag sa telepono sa pamamagitan ng pagharang o pag-redirect sa kanila at pinipigilan ang mga notification upang maiwasang maalerto ang user sa anumang kahina-hinalang aktibidad. Magkasama, ang mga feature na ito ay nagbibigay sa mga umaatake ng komprehensibong access at kontrol sa device ng biktima.

Delivery Chain: Isang Tatlong Yugto na Proseso ng Impeksyon

Ang malware ay inihahatid sa isang multi-stage na format:

Paunang APK File – Ibinahagi bilang bahagi ng phishing o pekeng mga update.

Dynamic na Paglo-load ng Klase – Ang mga naka-obfuscate na klase na wala sa APK ay nilo-load sa panahon ng pag-install.

Pagpapatupad ng DEX File – Pagkatapos makakuha ng mga pahintulot sa accessibility, ang malware ay nag-unpack at naglo-load ng isang nakakahamak na DEX file na naglalaman ng botnet code.

Ang paggamit ng AntiDot ng mga komersyal na packer at naka-encrypt na mga payload ay makabuluhang humahadlang sa pagtuklas at reverse engineering.

Mga Maling Interface at Pagnanakaw ng Kredensyal

Ang isang pangunahing taktika ng AntiDot ay kinabibilangan ng pagpapakita ng mga pekeng screen sa pag-log in kapag ang mga user ay nagbukas ng cryptocurrency o mga pinansiyal na app. Ang mga screen na ito ay kinukuha nang real-time mula sa isang Command-and-Control (C2) server, na nagbibigay-daan sa mga attacker na kumuha ng mga sensitibong kredensyal nang hindi pinapataas ang hinala ng user.

Ang C2 Infrastructure ng AntiDot: Binuo para sa Kahusayan

Ang remote control panel ng malware ay binuo sa MeteorJS, na nagbibigay-daan sa tuluy-tuloy na real-time na pakikipag-ugnayan sa mga nahawaang device. Kasama sa panel ang anim na natatanging seksyon:

• Mga Bot: Ipinapakita ang mga nahawaang device at ang kanilang metadata
• Mga Inject: Naglilista ng mga target na app para sa mga overlay na pag-atake at template
• Analytic: Sinusubaybayan ang mga naka-install na app upang matukoy ang mga trend at mga target sa hinaharap
• Mga Setting: Kinokontrol ang mga parameter ng injection at gawi ng malware
• Gates: Pinamamahalaan ang mga endpoint ng komunikasyon sa bot
• Tulong: Nagbibigay ng suporta sa user para sa mga operator ng malware

Localized at Persistent: Ang Tunay na Panganib ng AntiDot

Ang AntiDot ay higit pa sa isa pang Android trojan, ito ay isang scalable, umiiwas na platform ng MaaS na nakatuon sa pandaraya sa pananalapi sa pamamagitan ng localized na pag-target. Gamit ang mga diskarte tulad ng WebView injection, overlay-based na pagnanakaw ng kredensyal, at real-time na C2 na komunikasyon, nagdudulot ito ng malubhang banta sa privacy ng user at seguridad sa mobile.

Nagbabala ang mga mananaliksik na ang lumalagong pag-aampon at umuusbong na mga taktika ng AntiDot ay nagtatampok sa agarang pangangailangan para sa pinahusay na mga kasanayan sa seguridad ng Android, regular na pag-update, at kamalayan ng user upang labanan ang lalong palihim na pagbabanta tulad nito.