AntiDot Android Kötü Amaçlı Yazılım

Mezo'de Mobil Kötü Amaçlı Yazılım'de

Çevir:

Siber güvenlik araştırmacıları, yüzlerce kötü amaçlı kampanyada binlerce cihazı enfekte eden karmaşık bir Android kötü amaçlı yazılımı olan AntiDot'un perdesini araladı. LARVA-398 olarak bilinen bir tehdit aktörüyle bağlantılı olan bu kötü amaçlı yazılım, karanlık web'deki mobil Kötü Amaçlı Yazılım Hizmeti (MaaS) tekliflerinin oluşturduğu artan tehlikeyi göstermektedir.

İçindekiler

Büyüyen Bir Tehdit: Saldırının Ölçeği ve Kapsamı

AntiDot, 3.775'ten fazla Android cihazı tehlikeye atan 273 ayrı kampanyayla ilişkilendirildi. Kampanyalar, genellikle dil ve coğrafi konuma dayalı olarak oldukça hedefli olup seçici kurban profillemesini akla getiriyor. Kötü amaçlı yazılım, öncelikle kötü amaçlı reklam ağları ve sahte Google Play güncellemeleri de dahil olmak üzere kimlik avı kampanyaları aracılığıyla dağıtılıyor.

Mobil için MaaS: LARVA-398’in İş Modeli

'Üçü bir arada' bir çözüm olarak pazarlanan AntiDot, yeraltı forumlarında satılıyor ve tehdit aktörlerine şu amaçlar için güçlü bir araç seti sağlıyor:

Erişilebilirlik suistimali yoluyla ekran kaydı
SMS engelleme
Üçüncü taraf uygulamalardan veri çıkarma

Bu ticarileşme, siber suçluların daha geniş bir kesimine ulaşmasını sağlayarak gelişmiş mobil saldırılar başlatmanın önündeki engelleri azalttı.

Gelişmiş Yetenekler: AntiDot Neler Yapabilir?

AntiDot, saldırganların enfekte cihazlar üzerinde kalıcı ve gizli bir kontrol sağlamasını sağlayan geniş bir kötü amaçlı yetenek yelpazesiyle donatılmıştır. Meşru uygulamaları ikna edici şekilde taklit eden sahte oturum açma ekranları görüntüleyerek üst üste bindirme saldırıları gerçekleştirir ve böylece kullanıcı kimlik bilgilerini çalar. Kötü amaçlı yazılım ayrıca tuş vuruşlarını kaydeder ve hassas bilgileri yakalamak için ekran içeriğini izler. Android'in MediaProjection API'sini kullanarak, WebSocket bağlantıları aracılığıyla komut ve kontrol sunucularıyla gerçek zamanlı iletişimi sürdürürken cihazı uzaktan kontrol edebilir.

AntiDot, cihazdan kapsamlı veri toplamak için erişilebilirlik hizmetlerini kötüye kullanır ve gelen ve giden mesajları engellemek için kendisini varsayılan SMS uygulaması olarak ayarlar. Ayrıca, telefon görüşmelerini engelleyerek veya yönlendirerek manipüle eder ve kullanıcıyı herhangi bir şüpheli aktiviteye karşı uyarmaktan kaçınmak için bildirimleri bastırır. Bu özellikler bir araya geldiğinde, saldırganlara kurbanın cihazı üzerinde kapsamlı erişim ve kontrol sağlar.

Teslimat Zinciri: Üç Aşamalı Bir Enfeksiyon Süreci

Kötü amaçlı yazılım çok aşamalı bir biçimde sunulur:

İlk APK Dosyası – Kimlik avı veya sahte güncellemelerin bir parçası olarak dağıtılır.

Dinamik Sınıf Yükleme – APK'da bulunmayan gizlenmiş sınıflar kurulum sırasında yüklenir.

DEX Dosyası Çalıştırma – Erişim izinleri elde edildikten sonra kötü amaçlı yazılım, botnet kodunu içeren kötü amaçlı bir DEX dosyasını açar ve yükler.

AntiDot'un ticari paketleyiciler ve şifrelenmiş yükler kullanması, tespit ve tersine mühendislik işlemlerini önemli ölçüde engelliyor.

Sahte Arayüzler ve Kimlik Hırsızlığı

Önemli bir AntiDot taktiği, kullanıcılar kripto para veya finansal uygulamaları açtığında sahte oturum açma ekranları sunmayı içerir. Bu ekranlar, gerçek zamanlı olarak bir Komuta ve Kontrol (C2) sunucusundan alınır ve saldırganların kullanıcı şüphesi yaratmadan hassas kimlik bilgilerini ele geçirmesine olanak tanır.

AntiDot’un C2 Altyapısı: Verimlilik İçin Oluşturuldu

Kötü amaçlı yazılımın uzaktan kontrol paneli, enfekte cihazlarla kesintisiz gerçek zamanlı etkileşime izin veren MeteorJS üzerine kurulmuştur. Panel altı ayrı bölümden oluşur:

Botlar: Enfekte cihazları ve meta verilerini görüntüler
Enjekte eder: Kaplama saldırıları ve şablonlar için hedef uygulamaları listeler
Analitik: Trendleri ve gelecekteki hedefleri belirlemek için yüklü uygulamaları izler
Ayarlar: Enjeksiyon parametrelerini ve kötü amaçlı yazılım davranışını kontrol eder
Gates: Bot iletişim uç noktalarını yönetir
Yardım: Kötü amaçlı yazılım operatörleri için kullanıcı desteği sağlar

Yerelleştirilmiş ve Kalıcı: AntiDot’un Gerçek Tehlikesi

AntiDot, başka bir Android trojanından daha fazlasıdır; yerel hedefleme yoluyla finansal dolandırıcılığa odaklanan ölçeklenebilir, kaçamak bir MaaS platformudur. WebView enjeksiyonu, katman tabanlı kimlik bilgisi hırsızlığı ve gerçek zamanlı C2 iletişimleri gibi tekniklerle kullanıcı gizliliği ve mobil güvenlik için ciddi bir tehdit oluşturmaktadır.

Araştırmacılar, AntiDot'un giderek daha fazla benimsenmesi ve gelişen taktiklerinin, bunun gibi giderek daha gizli hale gelen tehditlerle mücadele için gelişmiş Android güvenlik uygulamalarına, düzenli güncellemelere ve kullanıcı farkındalığına acil ihtiyaç olduğunu vurguladığı konusunda uyarıyor.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

AntiDot Android Kötü Amaçlı Yazılım

Büyüyen Bir Tehdit: Saldırının Ölçeği ve Kapsamı

Mobil için MaaS: LARVA-398’in İş Modeli

Gelişmiş Yetenekler: AntiDot Neler Yapabilir?

Teslimat Zinciri: Üç Aşamalı Bir Enfeksiyon Süreci

Sahte Arayüzler ve Kimlik Hırsızlığı

AntiDot’un C2 Altyapısı: Verimlilik İçin Oluşturuldu

Yerelleştirilmiş ve Kalıcı: AntiDot’un Gerçek Tehlikesi

Yorum Gönder

trend

PARKER Ransomware

ADMON Ransomware

Mytopword.com

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor

Discord Gri Ekranda Takılıyor