20/06/25
Швейцарская компания PRODAFT обнародовала подробности о масштабной вредоносной кампании, связанной с Android-трояном под названием AntiDot. По данным специалистов, зловредная программа уже заразила более 3775 устройств в рамках 273 отдельных атак и активно используется в схемах, направленных на кражу персональных данных и финансовой информации.
За разработкой и распространением AntiDot стоит группировка LARVA-398, действующая из корыстных побуждений, пишет Securitylab. Вредонос распространяется по модели «вредонос как услуга» (MaaS) через теневые онлайн-форумы и используется в атаках, нацеленных на конкретные страны и языковые сообщества. Распространение происходит через вредоносные рекламные сети и фишинговые рассылки с индивидуальным таргетингом.
AntiDot позиционируется как универсальный инструмент для слежки. Он может записывать экран устройства, перехватывать SMS-сообщения, а также собирать данные из сторонних приложений. Основой трояна является Java-программа, скрытая с помощью коммерческого упаковщика, усложняющего анализ и обнаружение. Распаковка вредоносного кода происходит в три этапа, начиная с APK-файла, который устанавливается на устройство.
Особенностью является использование API MediaProjection и службы спецвозможностей Android, что позволяет злоумышленникам контролировать экран, вести кейлоггинг, управлять устройством удалённо, а также получать информацию о действиях пользователя в режиме реального времени. Чтобы обойти защиту, в процессе установки AntiDot запрашивает разрешения на доступ к функциям доступности и разворачивает вредоносный DEX-файл с основной логикой ботнета.
Когда жертва запускает приложения, связанные с криптовалютами или платежами, AntiDot подменяет реальные экраны фальшивыми страницами входа, загруженными с управляющего сервера. Эта техника, известная как оверлей-атака, используется для кражи учётных данных. Также троян устанавливается как основное приложение для SMS, перехватывает входящие и исходящие сообщения, отслеживает звонки, перенаправляет их или блокирует по списку номеров.
Кроме того, AntiDot мониторит системные уведомления на устройстве, удаляя или скрывая предупреждения, чтобы пользователь не заподозрил подозрительную активность. Всё управление заражёнными устройствами осуществляется через C2-панель, разработанную на MeteorJS. Панель включает вкладки для анализа установленных приложений, конфигурации атак, просмотра инфицированных устройств, управления точками подключения и даже встроенный раздел справки.
Платформа демонстрирует высокую степень адаптивности и ориентирована на финансовую выгоду за счёт устойчивого контроля над мобильными устройствами, особенно в странах с локализованными языковыми предпочтениями. Среди прочего, AntiDot использует WebView-инъекции и имитирует интерфейсы банковских и платёжных приложений, что делает его особенно опасным для конфиденциальности пользователей.
