瑞士网络安全公司 PRODAFT 公布了有关涉及名为 AntiDot 的 Android 木马的广泛恶意活动的详细调查结果。据专家称,该恶意软件已经在 3,775 次单独的攻击中感染了超过 273 台设备,并积极部署在旨在窃取个人和财务信息的计划中。
开发和传播 AntiDot 的背后是名为 LARVA-398 的威胁组织,主要由经济动机驱动。该恶意软件通过地下在线论坛通过“恶意软件即服务”(MaaS) 模型进行分发,并用于针对特定国家/地区和语言社区的攻击。传播通过恶意广告网络和高度定制的网络钓鱼活动进行。
AntiDot 作为一种多功能监控工具销售。它可以记录设备的屏幕、拦截 SMS 消息并从第三方应用程序中提取数据。该特洛伊木马基于使用商业加壳程序进行混淆处理的 Java 程序,这使得检测和逆向工程变得复杂。恶意负载分三个阶段解压缩,从目标设备上安装的 APK 文件开始。
AntiDot 的一个显着特点是它滥用 Android MediaProjection API 和辅助功能服务,这使攻击者能够实时监控屏幕、执行键盘记录、远程控制设备和观察用户行为。在安装过程中,恶意软件会请求可访问性权限并部署包含僵尸网络核心逻辑的恶意 DEX 文件。
当受害者启动加密货币或与支付相关的应用程序时,AntiDot 会用从其命令和控制 (C2) 服务器获取的虚假登录页面替换合法屏幕。这种覆盖技术用于窃取登录凭据。此外,该木马将自己设置为默认 SMS 应用程序,拦截入站和出站消息、跟踪呼叫并根据预定义规则重定向或阻止它们。
此外,AntiDot 会监控系统通知,删除或隐藏可能引起怀疑的警报。所有受感染的设备都通过基于 MeteorJS 框架开发的 C2 面板进行管理。该面板具有用于分析已安装的应用程序、配置攻击参数、查看受感染的设备、管理网络连接的模块,甚至还包括一个内置的帮助部分。
该平台表现出高度的适应性,并且显然是通过对移动设备的持续控制来进行金融剥削而设计的,尤其是在具有本地化语言偏好的地区。值得注意的是,AntiDot 利用 WebView 注入并模仿合法银行和支付应用程序的界面,使其对用户的隐私特别危险。
发表评论
您还未登录,请先登录。
登录