Эксперты по кибербезопасности подробно рассказали о вредоносе AntiDot для Android, который заразил более 3 775 устройств в рамках 273 различных атакующих кампаний.
"Этот вирус, управляемый хакерами из группировки LARVA-398, продаётся на теневых форумах как услуга Malware-as-a-Service (MaaS) и задействован в разных мобильных атаках," — говорится в отчёте PRODAFT.
AntiDot позиционируется как универсальный инструмент для записи экрана с помощью сервисов доступности Android, перехвата SMS и похищения конфиденциальной информации из сторонних приложений.
Скорее всего, сеть заражённых устройств распространяется через вредоносную рекламу или хорошо ориентированные фишинговые кампании с учётом языка и местоположения жертв.
Впервые AntiDot публично зафиксировали в мае 2024 года, когда его начали распространять под видом обновлений Google Play для кражи данных.
Как и другие трояны, он умеет выводить на экран фальшивые окна, отслеживать нажатия клавиш и дистанционно управлять устройствами, используя Android MediaProjection API. Для двунаправленной связи с сервером управления злоумышленники применяют WebSocket-соединение в реальном времени.
В декабре 2024 года Zimperium выявила фишинговую кампанию с обновлённой версией AntiDot — AppLite Banker, маскирующейся под предложения работы.
Свежие данные швейцарской компании показывают минимум 11 серверов управления (C2), контролирующих свыше 3 775 заражённых устройств в 273 кампаниях.
Вредонос написан на Java и сильно запутан с использованием коммерческого упаковщика, чтобы скрываться от антивирусов. По словам экспертов PRODAFT, его запуск проходит в три этапа, начинаясь с APK-файла.
"Анализ AndroidManifest показывает, что множество классов отсутствуют в исходном APK," — отмечают специалисты. "Они загружаются динамически во время установки из зашифрованных ресурсов — хитрый приём для обхода обнаружения."
При запуске приложение демонстрирует поддельный индикатор обновления и запрашивает разрешения сервисов доступности, после чего загружает модуль с функциями ботнета.
Главная функция AntiDot — отслеживание запуска криптовалютных и платёжных приложений с последующим появлением фальшивого окна входа, которое загружается с сервера злоумышленников.
Кроме того, вирус использует сервисы доступности для сбора подробной информации с экранов, заменяет стандартное приложение для SMS, чтобы перехватывать входящие и исходящие сообщения, следит за звонками, блокирует или перенаправляет их — расширяя возможности для мошенничества.
Ещё одна хитрость — слежение за уведомлениями в строке состояния с их скрытием или отсроченным показом, чтобы пользователь не заметил подозрительную активность.
По словам PRODAFT, панель управления C2 создана с помощью MeteorJS — JavaScript-фреймворка для обмена данными в реальном времени. Панель разделена на шесть частей:
- Боты — полный список заражённых устройств с подробной информацией
- Внедрения — целевые приложения для атак с наложением и шаблоны фейковых окон
- Аналитика — перечень установленных программ для выявления наиболее популярных мишеней
- Настройки — основные параметры управления, включая обновление внедрений
- Шлюзы — управление инфраструктурой, к которой подключаются боты
- Помощь — инструкции и поддержка по использованию вредоноса
"AntiDot — масштабируемая скрытная платформа MaaS, направленная на извлечение прибыли с мобильных устройств и ориентированная на локальные языковые аудитории," — подчёркивают эксперты. "Она использует WebView-инъекции и атаки с наложением, представляя серьёзную угрозу безопасности и конфиденциальности."
GodFather возвращается с новыми приёмами
Специалисты Zimperium zLabs раскрыли продвинутую версию Android-банковского трояна GodFather, который использует виртуализацию на устройстве, чтобы перехватывать настоящие банковские и криптовалютные приложения и совершать мошеннические операции в реальном времени.
"Главная идея — создать полностью изолированную виртуальную среду на смартфоне жертвы. Вредонос не просто копирует экран входа, а ставит 'хост'-приложение с собственной платформой виртуализации," — объясняют исследователи Фернандо Ортега и Вишну Пратапагири.
"Это хост-приложение загружает настоящие банковские или крипто-программы и запускает их в контролируемом песочном окружении."
Если пользователь запускает оригинал, его автоматически переводят в виртуальную копию, где мошенники следят за каждым шагом. В новой версии GodFather применяются методы обхода статического анализа — подмена ZIP-файлов и наполнение AndroidManifest лишними разрешениями.
Как и AntiDot, GodFather задействует сервисы доступности для сбора данных и управления устройством. Несмотря на усиленную защиту Android 13, обход ограничений достигается через установку через сессии, используемые в магазинах и браузерах при скачивании APK.
В основе вредоноса — виртуализация. Сначала собирается список приложений и проверяется, есть ли среди них цели атаки.
Если такие приложения найдены, из них извлекаются данные, а их копии запускаются внутри виртуального окружения dropper-приложения. Так что когда жертва открывает банк, она фактически работает с виртуальной версией под контролем преступников.
Ранее подобные виртуализационные приёмы уже встречались в другом Android-вредоносе под кодовым названием FjordPhantom, описанном в декабре 2023 года. Это новый класс угроз, который выходит за рамки традиционных атак с поддельными экранами входа.
"Хотя кампания GodFather охватывает около 500 приложений по всему миру, наши данные показывают, что самые активные атаки сосредоточены на двенадцати финансовых учреждениях Турции," — отмечают исследователи.
"Особенно опасна функция кражи паролей блокировки устройства — паттернов, ПИН-кодов и паролей, что сильно ставит под угрозу безопасность пользователей."
Компания по мобильной безопасности подчёркивает, что злоупотребление сервисами доступности — лишь один из способов получить повышенные права на Android, позволяющих вредоносам обходить ограничения. Сюда же относятся уязвимости и излишние разрешения у предустановленных приложений.
"Защита Android от повышения привилегий и вредоносных программ требует не только осведомлённости пользователей и своевременного обновления, но и умных, масштабируемых средств защиты," — добавляет исследователь Зив Зеира.
В России заметили вредонос SuperCard X с NFC-кражами
Также зафиксированы первые попытки атаковать российских пользователей трояном SuperCard X — новым Android-вредоносом, умеющим перехватывать и передавать NFC-сигналы для мошеннических транзакций.
По информации российской компании F6, SuperCard X — это изменённая версия легального приложения NFCGate, которое перезаписывает и меняет NFC-трафик. Цель — не просто украсть данные NFC, а считать информацию с банковской карты по протоколу EMV.
"Это даёт злоумышленникам возможность похищать данные банковских карт, перехватывая NFC-трафик для последующих краж средств с банковских счетов," — поясняет аналитик Александр Копосов.
Первый раз атаки с SuperCard X замечены в Италии в начале этого года — преступники снимали данные с физической карты, чтобы снимать наличные в банкоматах и оплачивать покупки через терминалы.
Эта MaaS-платформа с китайским интерфейсом, рекламируемая в Telegram, ориентирована на крупные банки США, Австралии и Европы. Она схожа с NGate — чешским Android-вредоносом, также основанным на NFCGate.
Общая черта всех этих атак — рассылка SMS-фишинга, чтобы убедить жертву установить APK под видом полезного приложения.
Вредоносные приложения заметили в официальных магазинах
Кроме троянов, требующих ручной установки, исследователи нашли вредоносные приложения в Google Play и App Store, которые воруют личные данные и сид-фразы криптокошельков, чтобы полностью опустошить счёты.
Одно из них — RapiPlata, скачанное около 150 000 раз на Android и iOS. Этот мошенник-SpyLoan заманивает обещаниями быстрых кредитов с низкой ставкой, но на деле вымогает и ворует данные.
"RapiPlata ориентирована на пользователей из Колумбии, обещая быстрые займы," — заявляют эксперты Check Point. "Помимо навязчивого кредитования, приложение крадёт СМС, звонки, события календаря и список приложений, отправляя их на свои серверы."
Фишинговые приложения для криптокошельков распространялись через взломанные аккаунты разработчиков и показывали поддельные страницы входа через WebView, чтобы выманить сид-фразы.
Хотя эти приложения уже удалены из официальных магазинов, их версии могут появляться на сторонних сайтах. Пользователям настоятельно советуют быть осторожными при загрузке финансовых приложений и программ для кредитования.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru