Novi bankovni trojanac za Android, Antidot, pojavio se u maju 2024. godine, koji krade vjerodajnice putem preklapanja napada i ima različite funkcionalnosti za potpunu kontrolu uređaja.
Antidot koristi VNC, keylogging, snimanje ekrana i prosljeđivanje poziva za snimanje osjetljivih informacija.
Takođe može prikupljati kontakte i SMS poruke, pokrenuti USSD zahtjeve i zaključati/otključati uređaj. Zlonamjerni softver koristi prilagođene tehnike šifriranja i zamagljivanja kako bi ometao analizu.
.webp)
Spominje “Antidot” nizova u izvornom kodu zlonamjernog softvera
Antidot Android bankovni trojanac prerušen u aplikaciju za ažuriranje Google Play i isporučuje lažnu stranicu za ažuriranje Google Play tokom instalacije, koja je viđena na više jezika, što objašnjava da zlonamjerni softver cilja korisnike na njemačkom, francuskom, španskom, ruskom, portugalskom, rumunskom, i regionima engleskog govornog područja.
.webp)
Lažne stranice za ažuriranje izrađene na različitim jezicima
Android malver Antidot koristi društveni inženjering kako bi prevario korisnike da daju dozvole pristupa, a nakon instalacije, prikazuje se obmanjujuća stranica za ažuriranje sa dugmetom”Continue“.
Klikom na ovo dugme korisnika se preusmjerava na menithe Accessibility Settings, a sticanjem Accessibility privileges, Antidot, slično drugim Android bankovnim trojancima, može izvršiti zlonamjerne radnje bez znanja ili svijesti korisnika, što omogućava zlonamjernom softveru da ukrade osjetljive informacije i potencijalno preuzme kontrolu uređaja.
Antidot traži od korisnika da odobri dozvolu za pristupačnost
Bankarski trojanac Antidot koristi kombinaciju HTTP i WebSocket protokola za uspostavljanje dvosmjerne komunikacije u realnom vremenu sa svojim serverom za komandu i kontrolu (C&C) i inicira kontakt putem HTTP zahtjeva, ali koristi WebSocketovu biblioteku “socket.io” za kontinuirane podatke razmjena.
.webp)
Prva ping poruka na server
Zlonamjerni softver komunicira pomoću “ping” i “pong” poruka. „Ping“ poruke na strani klijenta prenose Base64 kodirane podatke, dok odgovori servera („pong“) sadrže komande u običnom tekstu koje zlonamjerni softver treba da izvrši, omogućavajući C&C serveru da diskretno izda uputstva zaraženom uređaju.
Inicira kontakt sa napadačevim C&C serverom slanjem “ping” poruke koja sadrži kodirane informacije o uređaju kao što su naziv aplikacije, verzija, model uređaja, proizvođač i instalirane aplikacije.
.webp)
Pong poruka sa bot ID-om
Nakon uspješne komunikacije, server odgovara “pong” porukom dodjeljujući jedinstveni bot ID zaraženom uređaju, dok zlonamjerni softver preuzima dodatne rezervne adrese C&C servera tokom ove razmjene, osiguravajući kontinuiranu komunikaciju čak i ako primarni server pređe van mreže.
Prema Cybleu , Antidot bankovni trojanac uspostavlja dvosmjerni kanal komunikacije sa svojim serverom nakon što primi jedinstveni bot ID, jer zlonamjerni softver prenosi statistiku bota i preuzima komande sa servera.
.webp)
Komande primljene od servera
Naredbe, ukupno 35, daju napadaču opsežnu kontrolu nad uređajem žrtve, uključujući krađu informacija (SMS, kontakti, pritiskanje tipki), manipulaciju sučeljem (preklapanje prozora, svjetlina), pa čak i kontrolu samog uređaja (slikanje, upućivanje poziva, pokretanje režima mirovanja).
.webp)
SOS aktivnost
Antidot Android bankovni trojanac koristi overlay napade i keylogging za krađu korisničkih akreditiva.
Prekriva lažne phishing stranice koje liče na legitimne aplikacije (poput bankarskih aplikacija) na prave, varajući korisnike da unesu svoje vjerodajnice u zlonamjerni softver.
Osim toga, bilježi svaki pritisak na tipku koju žrtva unese, dok komunicira sa serverom za komandu i kontrolu, šalje ukradene podatke i prima instrukcije, a ako server otkrije da uređaj nije predviđena meta, daje instrukcije zlonamjernom softveru da zatraži korisnik da se sam deinstalira putem “SOS” komande.
Izvor:CybersecurityNews