Grava AMENINTARE pentru Android care Pericliteaza Telefoanele din Toata Lumea

Android este in centrul unui raport dedicat securitatii mobile, cercetatorii in domeniul securitatii cibernetice au facut publice detalii despre modul in care functioneaza malware-ul AntiDot, special conceput pentru platforma Android.

Android, potrivit documentatiei, este vizat de o amenintare care a compromis mai mult de 3.775 de dispozitive in cadrul a 273 de campanii separate, fiind gestionata de gruparea LARVA-398, cunoscuta pentru motivatiile sale financiare. AntiDot este promovat pe forumuri clandestine ca un serviciu de tip Malware-as-a-Service, atragand atacatori care vor acces usor la instrumente de frauda mobilă.

Malware-ul se prezinta drept o soluție “trei-in-unu” destinata atacurilor complexe pe Android. Prima componenta vizeaza inregistrarea ecranului prin intermediul serviciilor de accesibilitate, permitand operatorilor sa obtina imagini si secvente video cu activitatile victimei.

A doua facilitate consta in interceptarea si inregistrarea mesajelor SMS, deoarece AntiDot se seteaza automat ca aplicatie implicită de mesagerie. Cea de-a treia etapa asigura extragerea informatiilor sensibile din aplicatii terte – cum ar fi portofele electronice sau aplicatii de plati – prin injectarea si executarea unor module malițioase in contextul aplicatiei tinta.

Infiltrarea initiala a AntiDot pe dispozitivele Android are loc prin retele de publicitate compromise sau prin campanii de phishing extrem de tintite. Atacatorii utilizeaza mesaje personalizate, adaptate in functie de limba si locatie, pentru a convinge utilizatorii sa descarce un fisier APK mascat ca actualizare pentru Google Play.

Grava AMENINTARE pentru Android care Pericliteaza Telefoanele din Toata Lumea

Documentarea initiala a acestor tehnici de distribuire a fost facuta publica in mai 2024, cand cercetatorii au observat prima versiune raspandita prin intermediul unor false actualizari de sistem pentru Android.

O alta trasatura definitorie a AntiDot este ofuscarea avansata a codului. Malware-ul bazat pe Java foloseste un program de ambalare comercial pentru a ascunde clase si functii malițioase, care sunt incarcate dinamic doar in timpul instalarii.

Aceasta strategie impiedica scanarea antivirus si analiza statica, deoarece declanseaza doar o decriptare partiala a componentelor malitioase dupa ce APK-ul este instalat. Un studiu efectuat de PRODAFT a aratat ca manifestul Android ascunde o serie de clase cheie, incarcate ulterior dintr-un fisier criptat DEX care include functionalitatile botnet-ului.

Dupa instalare, AntiDot afiseaza o bara falsa de actualizare si solicita permisiuni de accesibilitate. Odata obtinute, atacatorii pot inregistra fiecare apasare de tasta, controla dispozitivul prin API-ul MediaProjection si stabili o conexiune WebSocket securizata pentru comunicare bidirectionala in timp real.

Datele furate, inclusiv parole, informatii bancare si mesaje private, sunt transmise catre unul dintre cele 11 servere active de comanda si control (C2), identificate recent in reteaua globala de mafia cibernetica pe Android.

In decembrie 2024, compania Zimperium a semnalat o campanie de phishing mobil sub umbrela AppLite Banker, o versiune modificata de AntiDot care folosea oferte de job si mesaje falsificate pentru a determina utilizatorii Android sa-si instaleze aplicatii aparent legitime. Aceasta campanie a demonstrat capacitatea operatorilor de a-si adapta malware-ul la diversi vectori de atac, sporind probabilitatea de reusita si numarul de victime.

Functionarea botnet-ului Android include si monitorizarea aplicatiilor lansate pe dispozitiv. Daca victima deschide o aplicatie de plati sau de criptomonede, AntiDot poate afisa un ecran de conectare fals, incercand sa obtina credentiale suplimentare.

Mai mult, malware-ul poate bloca sau redirectiona apeluri telefonice, oferind atacatorilor cai suplimentare de frauda. Toate aceste elemente pun in evidenta necesitatea unor solutii de securitate dedicate si actualizate constant pentru mediul Android, precum si vigilenta sporita a utilizatorilor in ceea ce priveste permisiunile solicitate de aplicatii si originea fisierelor APK.