Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại di động Phần mềm độc hại AntiDot Android

Phần mềm độc hại AntiDot Android

Đến năm Mezo năm Phần mềm độc hại di động
Dịch sang:

Các nhà nghiên cứu an ninh mạng đã vén bức màn về AntiDot, một phần mềm độc hại tinh vi của Android đã lây nhiễm hàng nghìn thiết bị qua hàng trăm chiến dịch độc hại. Được liên kết với một tác nhân đe dọa được gọi là LARVA-398, phần mềm độc hại này minh họa cho mối nguy hiểm ngày càng tăng do các dịch vụ cung cấp phần mềm độc hại dưới dạng dịch vụ (MaaS) trên thiết bị di động trên dark web.

Mối đe dọa ngày càng gia tăng: Quy mô và phạm vi của cuộc tấn công

AntiDot đã liên kết với 273 chiến dịch riêng biệt, xâm phạm hơn 3.775 thiết bị Android. Các chiến dịch này có mục tiêu cao, thường dựa trên ngôn ngữ và vị trí địa lý, cho thấy việc lập hồ sơ nạn nhân có chọn lọc. Phần mềm độc hại chủ yếu được phân phối thông qua các mạng quảng cáo độc hại và các chiến dịch lừa đảo, bao gồm cả các bản cập nhật Google Play giả mạo.

MaaS dành cho thiết bị di động: Mô hình kinh doanh của LARVA-398

Được tiếp thị là giải pháp 'ba trong một', AntiDot được bán trên các diễn đàn ngầm, cung cấp cho những kẻ tấn công một bộ công cụ mạnh mẽ để:

  • Ghi lại màn hình thông qua việc lạm dụng khả năng truy cập
  • Chặn tin nhắn SMS
  • Trích xuất dữ liệu từ các ứng dụng của bên thứ ba

Quá trình thương mại hóa này đã giúp nhiều tội phạm mạng có thể tiếp cận hơn, giảm bớt rào cản khi triển khai các cuộc tấn công di động tiên tiến.

Khả năng nâng cao: AntiDot có thể làm gì

AntiDot được trang bị nhiều khả năng độc hại cho phép kẻ tấn công duy trì quyền kiểm soát liên tục và bí mật đối với các thiết bị bị nhiễm. Nó thực hiện các cuộc tấn công phủ bằng cách hiển thị màn hình đăng nhập giả mạo bắt chước một cách thuyết phục các ứng dụng hợp pháp, do đó đánh cắp thông tin đăng nhập của người dùng. Phần mềm độc hại này cũng ghi lại các lần nhấn phím và theo dõi nội dung màn hình để nắm bắt thông tin nhạy cảm. Sử dụng API MediaProjection của Android, nó có thể điều khiển thiết bị từ xa, đồng thời duy trì giao tiếp thời gian thực với các máy chủ chỉ huy và điều khiển thông qua kết nối WebSocket.

AntiDot lạm dụng các dịch vụ trợ năng để thu thập dữ liệu mở rộng từ thiết bị và tự đặt mình là ứng dụng SMS mặc định để chặn tin nhắn đến và đi. Ngoài ra, nó còn thao túng các cuộc gọi điện thoại bằng cách chặn hoặc chuyển hướng chúng và ngăn chặn thông báo để tránh cảnh báo người dùng về bất kỳ hoạt động đáng ngờ nào. Cùng nhau, các tính năng này cung cấp cho kẻ tấn công quyền truy cập và kiểm soát toàn diện đối với thiết bị của nạn nhân.

Chuỗi phân phối: Quá trình lây nhiễm ba giai đoạn

Phần mềm độc hại được phân phối theo định dạng nhiều giai đoạn:

Tệp APK ban đầu – Được phân phối như một phần của bản cập nhật giả mạo hoặc lừa đảo.

Tải lớp động – Các lớp được tối giản hóa không có trong APK sẽ được tải trong quá trình cài đặt.

Thực thi tệp DEX – Sau khi có được quyền truy cập, phần mềm độc hại sẽ giải nén và tải tệp DEX độc hại có chứa mã botnet.

Việc AntiDot sử dụng các trình đóng gói thương mại và dữ liệu được mã hóa gây cản trở đáng kể cho việc phát hiện và kỹ thuật đảo ngược.

Giao diện giả mạo và trộm cắp thông tin xác thực

Một chiến thuật chính của AntiDot liên quan đến việc hiển thị màn hình đăng nhập giả khi người dùng mở ứng dụng tiền điện tử hoặc tài chính. Các màn hình này được lấy theo thời gian thực từ máy chủ Command-and-Control (C2), cho phép kẻ tấn công lấy thông tin đăng nhập nhạy cảm mà không gây nghi ngờ cho người dùng.

Cơ sở hạ tầng C2 của AntiDot: Được xây dựng để đạt hiệu quả

Bảng điều khiển từ xa của phần mềm độc hại được xây dựng trên MeteorJS, cho phép tương tác thời gian thực liền mạch với các thiết bị bị nhiễm. Bảng điều khiển bao gồm sáu phần riêng biệt:

  • Bot: Hiển thị các thiết bị bị nhiễm và siêu dữ liệu của chúng
  • Injects: Liệt kê các ứng dụng mục tiêu cho các cuộc tấn công lớp phủ và mẫu
  • Phân tích: Theo dõi các ứng dụng đã cài đặt để xác định xu hướng và mục tiêu trong tương lai
  • Cài đặt: Kiểm soát các thông số tiêm và hành vi của phần mềm độc hại
  • Gates: Quản lý các điểm cuối giao tiếp của bot
  • Trợ giúp: Cung cấp hỗ trợ người dùng cho các nhà điều hành phần mềm độc hại

Bản địa hóa và dai dẳng: Mối nguy hiểm thực sự của AntiDot

AntiDot không chỉ là một trojan Android khác, mà còn là một nền tảng MaaS có khả năng mở rộng, khó phát hiện, tập trung vào gian lận tài chính thông qua mục tiêu cục bộ. Với các kỹ thuật như tiêm WebView, đánh cắp thông tin xác thực dựa trên lớp phủ và giao tiếp C2 theo thời gian thực, nó gây ra mối đe dọa nghiêm trọng đối với quyền riêng tư của người dùng và bảo mật di động.

Các nhà nghiên cứu cảnh báo rằng việc sử dụng AntiDot ngày càng tăng và các chiến thuật ngày càng thay đổi làm nổi bật nhu cầu cấp thiết về các biện pháp bảo mật Android được tăng cường, các bản cập nhật thường xuyên và nhận thức của người dùng để chống lại các mối đe dọa ngày càng tinh vi như thế này.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,032
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...