AntiDot Android 恶意软件
网络安全研究人员揭开了 AntiDot 的神秘面纱。AntiDot 是一款复杂的 Android 恶意软件,已在数百次恶意活动中感染了数千台设备。该恶意软件与名为 LARVA-398 的威胁行为者存在关联,凸显了暗网上移动恶意软件即服务 (MaaS) 带来的日益严重的威胁。
目录
日益增长的威胁:攻击的规模和范围
AntiDot 与 273 起不同的攻击活动有关,感染了超过 3,775 台 Android 设备。这些攻击活动具有高度针对性,通常基于语言和地理位置,这表明攻击者会选择性地分析受害者。该恶意软件主要通过恶意广告网络和网络钓鱼活动进行传播,包括虚假的 Google Play 更新。
移动出行即服务 (MaaS):LARVA-398 的商业模式
AntiDot 被宣传为“三合一”解决方案,在地下论坛上出售,为威胁行为者提供了强大的工具包,用于:
- 通过滥用辅助功能进行屏幕录制
- 短信拦截
- 从第三方应用程序提取数据
这种商业化使得更广泛的网络犯罪分子能够使用它,降低了发动高级移动攻击的门槛。
高级功能:AntiDot 的功能
AntiDot 拥有广泛的恶意功能,使攻击者能够对受感染设备进行持久且隐秘的控制。它通过显示逼真模仿合法应用程序的虚假登录屏幕来执行覆盖攻击,从而窃取用户凭据。该恶意软件还会记录按键操作并监视屏幕内容以捕获敏感信息。利用 Android 的 MediaProjection API,它可以远程控制设备,同时通过 WebSocket 连接与其命令和控制服务器保持实时通信。
AntiDot 滥用无障碍服务从设备收集大量数据,并将自身设置为默认短信应用,以拦截收发短信。此外,它还通过拦截或重定向来操纵电话,并抑制通知,以避免用户发现任何可疑活动。这些功能使攻击者能够全面访问和控制受害者的设备。
传播链:三阶段感染过程
该恶意软件以多阶段格式传播:
初始 APK 文件– 作为网络钓鱼或虚假更新的一部分分发。
动态类加载——安装期间会加载 APK 中不存在的混淆类。
DEX 文件执行——获得可访问权限后,恶意软件会解压并加载包含僵尸网络代码的恶意 DEX 文件。
AntiDot 使用商业打包程序和加密有效载荷,极大地阻碍了检测和逆向工程。
虚假界面和凭证盗窃
AntiDot 的一个关键策略是在用户打开加密货币或金融应用程序时显示虚假的登录屏幕。这些屏幕实时从命令与控制 (C2) 服务器获取,使攻击者能够在不引起用户怀疑的情况下获取敏感凭证。
AntiDot 的 C2 基础设施:为效率而生
该恶意软件的远程控制面板基于 MeteorJS 构建,可与受感染设备进行无缝实时交互。该面板包含六个不同的部分:
- 机器人:显示受感染的设备及其元数据
- 注入:列出覆盖攻击和模板的目标应用程序
- 分析:跟踪已安装的应用程序以确定趋势和未来目标
- 设置:控制注入参数和恶意软件行为
- Gates:管理机器人通信端点
- 帮助:为恶意软件操作员提供用户支持
局部性和持久性:AntiDot 的真正危险
AntiDot 不仅仅是一个普通的 Android 木马,它是一个可扩展且具有规避性的移动即服务 (MaaS) 平台,专注于通过本地化定位进行金融欺诈。它利用 WebView 注入、基于覆盖层的凭证窃取以及实时 C2 通信等技术,对用户隐私和移动安全构成严重威胁。
研究人员警告称,AntiDot 的日益普及和策略的不断演变凸显了加强 Android 安全实践、定期更新和提高用户意识的迫切需要,以对抗此类日益隐蔽的威胁。
