Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Antidot: новый банковский троян притворяется обновлениями Google Play

21/05/24

Androhack-May-21-2024-11-54-24-3491-AM

Исследователи из компании Cyble обнаружили новый банковский троян, нацеленный на устройства Android. Сложное вредоносное ПО обладает множеством опасных функций, включая атаки наложения, кейлоггинг и методы маскировки.

Троян получил название «Antidot» исходя из строки, найденной в его исходном коде, пишет Securitylab. Его главная особенность состоит в том, что он маскируется под официальные обновления Google Play и поддерживает сразу несколько языков, среди которых английский, немецкий, французский, испанский, португальский, румынский и даже русский.

Сам вредонос распространяется как обновление для Google Play и на устройстве жертвы отображается под названием «New Version». После установки и его первого запуска, пользователь видит поддельную страницу, якобы от Google Play, с подробной инструкцией, что нужно сделать для «завершения обновления».

ft21vo9uzfdkrdsl9ah3jlhafdzywahd

Нажатие на кнопку «Продолжить» приводит к перенаправлению жертвы в настройки специальных возможностей Android, где вредоносному приложению требуется выдать ряд разрешений, среди которых, например, полный доступ к изображению на экране смартфона, уведомлениям, а также расширенным возможностям по управления системой, включая нажатия, свайпы и жесты.

После предоставления необходимых разрешений, троян отправляет первый на удалённый сервер пинг-сообщение с рядом данных, закодированных в Base64. Эти данные включают:

  • название вредоносного приложения;
  • версию Software Development Kit (SDK);
  • производителя и модель смартфона;
  • язык и код страны;
  • список установленных приложений на устройстве.

В фоновом режиме троян устанавливает связь с командным сервером через HTTP и использует библиотеку «socket.io» для двусторонней коммуникации в реальном времени. Это позволяет поддерживать связь между сервером и клиентом с помощью сообщений «ping» и «pong».

После генерации бот-идентификатора сервером, Antidot отправляет статистику на сервер и получает команды. Всего троян поддерживает 35 команд, среди которых, например:

  • виртуальные сетевые вычисления (VNC);
  • кейлоггинг;
  • атаки наложения;
  • запись экрана;
  • переадресация звонков;
  • сбор контактов и SMS;
  • выполнение USSD-запросов;
  • блокировка и разблокировка устройства.

«Использование обфускации строк, шифрования и подделки страниц обновления демонстрируют целенаправленный подход, направленный на избегание обнаружения и максимизацию охвата на различных языках», — отметили исследователи Cyble.

Для защиты от этой и других мобильных угроз эксперты рекомендуют:

  • устанавливать ПО только из официальных магазинов приложений, таких как Google Play для Android и App Store для iOS;
  • использовать надёжные антивирусные программы и средства интернет-безопасности;
  • применять надёжные пароли в связке с многофакторной аутентификацией (MFA);
  • быть осторожными при открытии ссылок, полученных по SMS или электронной почте;
  • всегда включать Google Play Protect на Android-устройствах;
  • внимательно относиться к предоставляемым приложениям разрешениям;
  • своевременно устанавливать легитимные обновления ПО на свои устройства.

Эти меры помогут минимизировать риск заражения и сохранить безопасность личных данных на мобильных устройствах.

Темы:AndroidПреступленияGoogle PlayCyble
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...