По данным швейцарской компании PRODAFT, вредоносное ПО AntiDot стало основой масштабной кампании кибермошенников, затронувшей не менее 3775 Android-устройств по всему миру. Исследование, представленное изданию The Hacker News, показало, что заражение происходило в рамках 273 отдельных операций, управляемых группировкой LARVA-398, действующей на платной основе в теневом сегменте MaaS (Malware-as-a-Service).
AntiDot продаётся как универсальное средство «три в одном» и предоставляет операторам возможность перехватывать SMS, записывать экран устройства через MediaProjection API и похищать данные из сторонних приложений. Основа атаки — манипуляция службами специальных возможностей Android, которые используются для наложения поддельных окон поверх легитимных интерфейсов. Это позволяет вирусу маскироваться под системные уведомления или формы входа, перехватывая нажатия и данные пользователей в режиме реального времени.
Одна из характерных особенностей — ориентация на точечный фишинг с учётом языка и местоположения. Вредонос распространяется через поддельные рекламные сети или как обновление Google Play, а также в виде рабочих предложений — приём, использованный в декабрьской кампании AppLite Banker, являющейся обновлённой модификацией AntiDot. Исследователи из Zimperium тогда сообщили, что программа действовала под прикрытием рекрутинговых платформ, внедряясь в устройства жертв под видом легитимных сервисов.
Технически AntiDot реализован на Java и тщательно зашифрован с применением коммерческого упаковщика, что затрудняет анализ и обнаружение. По информации PRODAFT, архитектура вредоносного ПО построена на трёхступенчатой схеме, стартующей с APK-файла, активирующего скрытую загрузку. После инициализации устанавливается двусторонняя связь с управляющим сервером через WebSocket, что позволяет в реальном времени управлять заражённым устройством.
Функциональность расширяется возможностью регистрировать нажатия клавиш, запускать наложения и собирать банковские данные. Некоторые версии содержат инструменты для перехвата данных NFC и генерации поддельных экранов входа, которые активируются в момент совершения транзакций. Это делает AntiDot особенно опасным в банковских атаках, где пользователь уверен, что работает с настоящим приложением, в то время как все действия контролирует оператор вредоносной платформы.
Оригинал публикации на сайте CISOCLUB: "Вредонос AntiDot для Android распространяется через фишинг, рекламу и маскировку под обновления Google, используя оверлеи, кражу NFC и удалённое управление".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.