Знижка на кілька ліцензій
База даних загроз Мобільні шкідливі програми Шкідливе програмне забезпечення AntiDot для Android

Шкідливе програмне забезпечення AntiDot для Android

До Mezo року в Мобільні шкідливі програми році
Перекласти на:

Дослідники з кібербезпеки розкрили таємницю AntiDot, складного шкідливого програмного забезпечення для Android, яке заразило тисячі пристроїв у сотнях шкідливих кампаній. Пов'язане зі зловмисником LARVA-398, це шкідливе програмне забезпечення ілюструє зростаючу небезпеку, яку становлять мобільні пропозиції Malware-as-a-Service (MaaS) у даркнеті.

Зростаюча загроза: масштаб та масштаби атаки

AntiDot пов'язують із 273 окремими кампаніями, які загрожують понад 3775 пристроям Android. Кампанії є вузькотаргетованими, часто заснованими на мові та географічному розташуванні, що свідчить про вибіркове профілювання жертв. Шкідливе програмне забезпечення поширюється переважно через шкідливі рекламні мережі та фішингові кампанії, включаючи підроблені оновлення Google Play.

MaaS для мобільних пристроїв: бізнес-модель LARVA-398

AntiDot, що рекламується як рішення «три в одному», продається на підпільних форумах, надаючи зловмисникам потужний набір інструментів для:

  • Запис екрана через порушення доступності
  • Перехоплення SMS-повідомлень
  • Вилучення даних зі сторонніх програм

Ця комерціалізація зробила його доступним для ширшого кола кіберзлочинців, знизивши бар'єр для запуску передових мобільних атак.

Розширені можливості: що може AntiDot

AntiDot оснащений широким спектром шкідливих можливостей, які дозволяють зловмисникам підтримувати постійний та прихований контроль над зараженими пристроями. Він здійснює атаки типу "накладання", відображаючи підроблені екрани входу, які переконливо імітують легітимні програми, тим самим крадучи облікові дані користувачів. Шкідливе програмне забезпечення також реєструє натискання клавіш та відстежує вміст екрана для збору конфіденційної інформації. Використовуючи API MediaProjection від Android, воно може дистанційно керувати пристроєм, підтримуючи зв'язок у режимі реального часу зі своїми командно-контрольними серверами через з'єднання WebSocket.

AntiDot зловживає службами доступності для збору великої кількості даних з пристрою та встановлює себе як SMS-додаток за замовчуванням для перехоплення вхідних та вихідних повідомлень. Крім того, він маніпулює телефонними дзвінками, блокуючи або перенаправляючи їх, та пригнічує сповіщення, щоб уникнути сповіщення користувача про будь-яку підозрілу активність. Разом ці функції надають зловмисникам повний доступ та контроль над пристроєм жертви.

Ланцюг доставки: триетапний процес зараження

Шкідливе програмне забезпечення постачається у багатоетапному форматі:

Початковий APK-файл – розповсюджується як частина фішингових або фальшивих оновлень.

Динамічне завантаження класів – під час встановлення завантажуються обфусковані класи, яких немає в APK.

Виконання DEX-файлу – Після отримання дозволів на доступ шкідливе програмне забезпечення розпаковує та завантажує шкідливий DEX-файл, що містить код ботнету.

Використання AntiDot комерційних пакувальників та зашифрованих корисних даних значно ускладнює виявлення та зворотне проектування.

Фальшиві інтерфейси та крадіжка облікових даних

Ключова тактика AntiDot полягає в показі фальшивих екранів входу, коли користувачі відкривають криптовалютні або фінансові додатки. Ці екрани завантажуються в режимі реального часу з сервера командування та управління (C2), що дозволяє зловмисникам захоплювати конфіденційні облікові дані, не викликаючи підозр у користувачів.

Інфраструктура C2 AntiDot: створена для ефективності

Панель віддаленого керування шкідливим програмним забезпеченням побудована на MeteorJS, що дозволяє безперебійну взаємодію в режимі реального часу із зараженими пристроями. Панель містить шість окремих розділів:

  • Боти: Відображає заражені пристрої та їхні метадані
  • Впровадження: Перелічує цільові програми для атак накладанням та шаблони
  • Аналітика: відстежує встановлені програми для визначення тенденцій та майбутніх цілей.
  • Налаштування: Керує параметрами впровадження та поведінкою шкідливого програмного забезпечення
  • Гейтс: Керує кінцевими точками зв'язку з ботами
  • Довідка: Надає підтримку користувачам для операторів шкідливих програм

Локалізований та стійкий: реальна небезпека AntiDot

AntiDot — це більше, ніж просто черговий троян для Android, це масштабована, ненадійна MaaS-платформа, яка зосереджена на фінансовому шахрайстві шляхом локалізованого таргетування. Завдяки таким методам, як впровадження WebView, крадіжка облікових даних на основі оверлеїв та зв'язок C2 у режимі реального часу, вона становить серйозну загрозу конфіденційності користувачів та безпеці мобільних пристроїв.

Дослідники попереджають, що зростання популярності AntiDot та розвиток його тактик підкреслюють нагальну потребу в покращених методах безпеки Android, регулярних оновленнях та підвищенні обізнаності користувачів для боротьби з такими дедалі більш прихованими загрозами, як ця.

В тренді

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
35,032
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
23,346
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...