Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware AntiDot Android Malware

AntiDot Android Malware

Von Mezo in Mobile Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben AntiDot aufgedeckt, eine hochentwickelte Android-Malware, die im Rahmen von Hunderten von Malware-Kampagnen Tausende von Geräten infiziert hat. Die Malware steht im Zusammenhang mit dem Bedrohungsakteur LARVA-398 und veranschaulicht die wachsende Gefahr, die von mobilen Malware-as-a-Service (MaaS)-Angeboten im Darknet ausgeht.

Eine wachsende Bedrohung: Ausmaß und Umfang des Angriffs

AntiDot wurde mit 273 verschiedenen Kampagnen in Verbindung gebracht, die über 3.775 Android-Geräte kompromittiert haben. Die Kampagnen sind sehr zielgerichtet und basieren oft auf Sprache und geografischem Standort, was auf eine gezielte Opferprofilierung schließen lässt. Die Malware wird hauptsächlich über bösartige Werbenetzwerke und Phishing-Kampagnen verbreitet, darunter auch gefälschte Google Play-Updates.

MaaS für Mobilgeräte: Das Geschäftsmodell von LARVA-398

AntiDot wird als „Drei-in-Eins“-Lösung vermarktet und in Untergrundforen verkauft. Es bietet Bedrohungsakteuren ein leistungsstarkes Toolkit für:

  • Bildschirmaufzeichnung durch Missbrauch der Barrierefreiheit
  • SMS-Abfangen
  • Datenextraktion aus Drittanbieter-Apps

Durch diese Kommerzialisierung ist es einem größeren Kreis von Cyberkriminellen zugänglich geworden, was die Hürde für die Durchführung fortgeschrittener mobiler Angriffe senkt.

Erweiterte Funktionen: Was AntiDot kann

AntiDot verfügt über eine breite Palette bösartiger Funktionen, die es Angreifern ermöglichen, die Kontrolle über infizierte Geräte dauerhaft und heimlich zu behalten. Es führt Overlay-Angriffe durch, indem es gefälschte Anmeldebildschirme anzeigt, die legitime Apps überzeugend imitieren, und so Benutzeranmeldeinformationen stiehlt. Die Malware protokolliert außerdem Tastatureingaben und überwacht Bildschirminhalte, um vertrauliche Informationen zu erfassen. Mithilfe der MediaProjection-API von Android kann sie das Gerät fernsteuern und gleichzeitig über WebSocket-Verbindungen in Echtzeit mit den Command-and-Control-Servern kommunizieren.

AntiDot missbraucht die Bedienungshilfen, um umfangreiche Daten vom Gerät zu sammeln, und legt sich als Standard-SMS-App fest, um eingehende und ausgehende Nachrichten abzufangen. Darüber hinaus manipuliert es Telefonanrufe, indem es diese blockiert oder umleitet, und unterdrückt Benachrichtigungen, um den Benutzer nicht auf verdächtige Aktivitäten aufmerksam zu machen. Zusammen ermöglichen diese Funktionen den Angreifern umfassenden Zugriff und Kontrolle über das Gerät des Opfers.

Lieferkette: Ein dreistufiger Infektionsprozess

Die Malware wird in einem mehrstufigen Format bereitgestellt:

Ursprüngliche APK-Datei – Wird als Teil von Phishing oder gefälschten Updates verteilt.

Dynamisches Laden von Klassen – Verschleierte Klassen, die nicht in der APK vorhanden sind, werden während der Installation geladen.

Ausführung von DEX-Dateien – Nachdem die Malware Zugriffsberechtigungen erhalten hat, entpackt und lädt sie eine schädliche DEX-Datei, die den Botnet-Code enthält.

Die Verwendung kommerzieller Packprogramme und verschlüsselter Nutzdaten durch AntiDot erschwert die Erkennung und das Reverse Engineering erheblich.

Gefälschte Schnittstellen und Diebstahl von Anmeldeinformationen

Eine wichtige AntiDot-Taktik besteht darin, gefälschte Anmeldebildschirme anzuzeigen, wenn Benutzer Kryptowährungs- oder Finanz-Apps öffnen. Diese Bildschirme werden in Echtzeit von einem Command-and-Control-Server (C2) abgerufen, sodass Angreifer vertrauliche Anmeldeinformationen erfassen können, ohne den Verdacht des Benutzers zu erregen.

Die C2-Infrastruktur von AntiDot: Auf Effizienz ausgelegt

Das Remote-Control-Panel der Malware basiert auf MeteorJS und ermöglicht eine nahtlose Echtzeit-Interaktion mit infizierten Geräten. Das Panel umfasst sechs verschiedene Bereiche:

  • Bots: Zeigt infizierte Geräte und deren Metadaten an
  • Injects: Listet Ziel-Apps für Overlay-Angriffe und Vorlagen auf
  • Analytisch: Verfolgt installierte Apps, um Trends und zukünftige Ziele zu identifizieren
  • Einstellungen: Steuert Injektionsparameter und Malware-Verhalten
  • Gates: Verwaltet Bot-Kommunikationsendpunkte
  • Hilfe: Bietet Benutzerunterstützung für Malware-Betreiber

Lokalisiert und persistent: Die wahre Gefahr von AntiDot

AntiDot ist mehr als nur ein weiterer Android-Trojaner: Es handelt sich um eine skalierbare, schwer zu manipulierende MaaS-Plattform, die sich durch lokalisiertes Targeting auf Finanzbetrug konzentriert. Mit Techniken wie WebView-Injection, Overlay-basiertem Diebstahl von Anmeldeinformationen und Echtzeit-C2-Kommunikation stellt sie eine ernsthafte Bedrohung für die Privatsphäre der Nutzer und die mobile Sicherheit dar.

Forscher warnen, dass die zunehmende Verbreitung und Weiterentwicklung der Taktiken von AntiDot die dringende Notwendigkeit verbesserter Android-Sicherheitspraktiken, regelmäßiger Updates und der Sensibilisierung der Benutzer zur Bekämpfung zunehmend heimlicher Bedrohungen dieser Art unterstreichen.

Im Trend

Am häufigsten gesehen

Wird geladen...