AntiDot Android 惡意軟體
網路安全研究人員揭開了 AntiDot 的神秘面紗。 AntiDot 是一款複雜的 Android 惡意軟體,在數百次惡意活動中感染了數千台裝置。該惡意軟體與名為 LARVA-398 的威脅行為者存在關聯,凸顯了暗網上行動惡意軟體即服務 (MaaS) 帶來的日益嚴重的威脅。
目錄
日益增長的威脅:攻擊的規模和範圍
AntiDot 與 273 起不同的攻擊活動有關,感染了超過 3,775 台 Android 裝置。這些攻擊活動具有高度針對性,通常基於語言和地理位置,這表明攻擊者會選擇性地分析受害者。該惡意軟體主要透過惡意廣告網路和網路釣魚活動進行傳播,包括虛假的 Google Play 更新。
行動移動即服務 (MaaS):LARVA-398 的商業模式
AntiDot 被宣傳為「三合一」解決方案,在地下論壇上出售,為威脅行為者提供了強大的工具包,用於:
- 透過濫用輔助功能進行螢幕錄製
- 簡訊攔截
- 從第三方應用程式提取數據
這種商業化使得更廣泛的網路犯罪分子能夠使用它,降低了發動高階行動攻擊的門檻。
進階功能:AntiDot 的功能
AntiDot 擁有廣泛的惡意功能,使攻擊者能夠對受感染設備進行持久且隱密的控制。它透過顯示逼真模仿合法應用程式的虛假登入畫面來執行覆蓋攻擊,從而竊取使用者憑證。該惡意軟體還會記錄按鍵操作並監視螢幕內容以捕獲敏感資訊。利用 Android 的 MediaProjection API,它可以遠端控制設備,同時透過 WebSocket 連接與其命令和控制伺服器保持即時通訊。
AntiDot 濫用無障礙服務從設備收集大量數據,並將自身設定為預設簡訊應用,以攔截收發簡訊。此外,它還透過攔截或重新導向來操縱電話,並抑制通知,以避免用戶發現任何可疑活動。這些功能使攻擊者能夠全面存取和控制受害者的設備。
傳播鏈:三階段感染過程
該惡意軟體以多階段格式傳播:
初始 APK 檔案– 作為網路釣魚或虛假更新的一部分分發。
動態類別載入-安裝期間會載入 APK 中不存在的混淆類別。
DEX 檔案執行-取得可存取權限後,惡意軟體會解壓縮並載入包含殭屍網路程式碼的惡意 DEX 檔案。
AntiDot 使用商業打包程式和加密有效載荷,大大阻礙了偵測和逆向工程。
虛假介面和憑證盜竊
AntiDot 的一個關鍵策略是在用戶開啟加密貨幣或金融應用程式時顯示虛假的登入畫面。這些畫面即時從命令與控制 (C2) 伺服器獲取,使攻擊者能夠在不引起使用者懷疑的情況下獲取敏感憑證。
AntiDot 的 C2 基礎設施:為效率而生
該惡意軟體的遠端控制面板基於 MeteorJS 構建,可與受感染設備進行無縫即時互動。此面板包含六個不同的部分:
- 機器人:顯示受感染的設備及其元數據
- 注入:列出覆蓋攻擊和模板的目標應用程式
- 分析:追蹤已安裝的應用程式以確定趨勢和未來目標
- 設定:控制注入參數和惡意軟體行為
- Gates:管理機器人通訊端點
- 協助:為惡意軟體操作員提供使用者支持
局部性和持久性:AntiDot 的真正危險
AntiDot 不僅僅是一個普通的 Android 木馬,它是一個可擴展且具有規避性的行動即服務 (MaaS) 平台,專注於透過在地化定位進行金融詐欺。它利用 WebView 注入、基於覆蓋層的憑證竊取以及即時 C2 通訊等技術,對用戶隱私和行動安全構成嚴重威脅。
研究人員警告稱,AntiDot 的日益普及和策略的不斷演變凸顯了加強 Android 安全實踐、定期更新和提高用戶意識的迫切需要,以對抗此類日益隱蔽的威脅。
