Experti v oblasti kybernetické bezpečnosti odhalili vnitřní fungování Android malwaru nazvaného AntiDot, který kompromitoval více než 3 775 zařízení v rámci 273 unikátních kampaní.

„Provozován finančně motivovaným hackerem LARVA-398, AntiDot je aktivně prodáván jako Malware-as-a-Service (MaaS) na ilegálních fórech a byl spojen s širokou škálou mobilních kampaní,“ uvedla společnost PRODAFT

AntiDot je inzerován jako „tři v jednom“ řešení s možnostmi zaznamenávat obrazovku zařízení zneužitím Android služeb dostupnosti, zachycovat SMS zprávy a extrahovat citlivá data z aplikací třetích stran.

Předpokládá se, že Android botnet je doručován prostřednictvím škodlivých reklamních sítí nebo vysoce cílených phishingových kampaní založených na aktivitě, která naznačuje selektivní cílení obětí na základě jazyka a geografické polohy.

AntiDot byl poprvé veřejně zdokumentován v květnu 2024 poté, co byl spatřen při distribuci jako aktualizace Google Play ke splnění svých cílů krádeže informací.

Podobně jako jiné Android trojany, nabízí širokou škálu schopností provádět překryvné útoky, zaznamenávat stisky kláves a vzdáleně ovládat infikovaná zařízení pomocí Android MediaProjection API. Také vytváří WebSocket komunikaci pro usnadnění v reálném čase, obousměrnou komunikaci mezi infikovaným zařízením a externím serverem.

V prosinci 2024 Zimperium odhalilo detaily mobilní phishingové kampaně, která distribuovala aktualizovanou verzi AntiDot nazvanou AppLite Banker pomocí návnad v podobě nabídek práce.

Nejnovější zjištění švýcarské společnosti pro kybernetickou bezpečnost ukazují, že je v provozu nejméně 11 aktivních command-and-control (C2) serverů, které dohlížejí na minimálně 3 775 infikovaných zařízení ve 273 různých kampaních.

Java-based malware ve svém jádru je AntiDot silně obfuskován pomocí komerčního balíčku, aby se vyhnul detekci a analýze. Malware, podle PRODAFT, je doručován jako součást třístupňového procesu, který začíná souborem APK.

Zdroj: TheHackerNews