Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil AntiDot Malware para Android

AntiDot Malware para Android

Por Mezo en Malware móvil
Traducir a:

Investigadores de ciberseguridad han revelado AntiDot, un sofisticado malware para Android que ha infectado miles de dispositivos mediante cientos de campañas maliciosas. Vinculado a un actor de amenazas conocido como LARVA-398, este malware ilustra el creciente peligro que representan las ofertas de malware como servicio (MaaS) para dispositivos móviles en la dark web.

Una amenaza creciente: escala y alcance del ataque

AntiDot se ha asociado con 273 campañas distintas, que han comprometido más de 3775 dispositivos Android. Estas campañas son altamente selectivas, a menudo basadas en el idioma y la ubicación geográfica, lo que sugiere un perfilamiento selectivo de las víctimas. El malware se distribuye principalmente a través de redes publicitarias maliciosas y campañas de phishing, incluyendo actualizaciones falsas de Google Play.

MaaS para móviles: el modelo de negocio de LARVA-398

Comercializado como una solución "tres en uno", AntiDot se vende en foros clandestinos y ofrece a los actores de amenazas un poderoso conjunto de herramientas para:

  • Grabación de pantalla mediante abuso de accesibilidad
  • Interceptación de SMS
  • Extracción de datos de aplicaciones de terceros

Esta comercialización lo ha hecho accesible a una gama más amplia de ciberdelincuentes, reduciendo la barrera para lanzar ataques móviles avanzados.

Capacidades avanzadas: Qué puede hacer AntiDot

AntiDot cuenta con una amplia gama de capacidades maliciosas que permiten a los atacantes mantener un control persistente y sigiloso sobre los dispositivos infectados. Realiza ataques de superposición mostrando pantallas de inicio de sesión falsas que imitan convincentemente aplicaciones legítimas, robando así las credenciales del usuario. El malware también registra las pulsaciones de teclas y monitoriza el contenido de la pantalla para obtener información confidencial. Utilizando la API MediaProjection de Android, puede controlar el dispositivo de forma remota, a la vez que mantiene comunicación en tiempo real con sus servidores de comando y control mediante conexiones WebSocket.

AntiDot abusa de los servicios de accesibilidad para recopilar una gran cantidad de datos del dispositivo y se configura como la aplicación de SMS predeterminada para interceptar los mensajes entrantes y salientes. Además, manipula las llamadas telefónicas bloqueándolas o redirigiéndolas y suprime las notificaciones para evitar alertar al usuario sobre cualquier actividad sospechosa. En conjunto, estas funciones otorgan a los atacantes acceso y control total sobre el dispositivo de la víctima.

Cadena de distribución: un proceso de infección de tres etapas

El malware se distribuye en un formato de varias etapas:

Archivo APK inicial : se distribuye como parte de phishing o actualizaciones falsas.

Carga dinámica de clases : las clases ofuscadas que no están presentes en el APK se cargan durante la instalación.

Ejecución de archivo DEX : después de obtener permisos de accesibilidad, el malware descomprime y carga un archivo DEX malicioso que contiene el código de la botnet.

El uso de empaquetadores comerciales y cargas útiles cifradas por parte de AntiDot dificulta significativamente la detección y la ingeniería inversa.

Interfaces falsas y robo de credenciales

Una táctica clave de AntiDot consiste en mostrar pantallas de inicio de sesión falsas al abrir aplicaciones de criptomonedas o financieras. Estas pantallas se obtienen en tiempo real desde un servidor de Comando y Control (C2), lo que permite a los atacantes obtener credenciales confidenciales sin despertar sospechas.

Infraestructura C2 de AntiDot: diseñada para la eficiencia

El panel de control remoto del malware está basado en MeteorJS, lo que permite una interacción fluida en tiempo real con los dispositivos infectados. El panel incluye seis secciones distintas:

  • Bots: muestra los dispositivos infectados y sus metadatos
  • Inyecciones: enumera las aplicaciones de destino para ataques de superposición y plantillas
  • Analítico: rastrea las aplicaciones instaladas para identificar tendencias y objetivos futuros
  • Configuración: controla los parámetros de inyección y el comportamiento del malware
  • Puertas: administra los puntos finales de comunicación del bot
  • Ayuda: Proporciona soporte al usuario para operadores de malware.

Localizado y persistente: el verdadero peligro de AntiDot

AntiDot es más que un simple troyano para Android; es una plataforma MaaS escalable y evasiva que se centra en el fraude financiero mediante ataques localizados. Con técnicas como la inyección de WebView, el robo de credenciales basado en superposición y las comunicaciones C2 en tiempo real, representa una grave amenaza para la privacidad del usuario y la seguridad móvil.

Los investigadores advierten que la creciente adopción de AntiDot y sus tácticas en evolución resaltan la urgente necesidad de mejores prácticas de seguridad de Android, actualizaciones periódicas y concientización del usuario para combatir amenazas cada vez más sigilosas como esta.

Tendencias

Mas Visto

Cargando...