Antidot adlı yeni bir Android Botnet kötü amaçlı yazılım, enfekte olmuş cihazlar üzerinde siber suçlu görülmemiş bir kontrol sağlayan müthiş bir tehdit olarak ortaya çıktı.
XSS gibi yeraltı forumlarında Larva-398 tarafından hizmet olarak kötü amaçlı yazılım (MAAS) olarak çalıştırılır ve satılır, AntiDot “3’ü 1 arada” bir araç olarak pazarlanır, bir yükleyici, paketleyici ve botnet altyapısını tek bir yıkıcı pakete paketler.
Bu kötü amaçlı yazılımların, Android erişilebilirlik hizmeti kötüye kullanımı, SMS müdahalesi ve yer paylaşımı saldırıları yoluyla kimlik bilgisi hırsızlığı aracılığıyla ekran kaydı da dahil olmak üzere gelişmiş özellikleri, kullanıcılar ve güvenlik profesyonelleri için kritik bir endişe haline getirir.
.png
)
Teknik analiz, şu anda en az 11 aktif komuta ve kontrol (C2) sunucusu aracılığıyla çalıştığını ve 273 farklı kampanyada 3.775’den fazla enfekte cihazı yönettiğini ve kötü niyetli reklam ağları ve kimlik avı aracılığıyla belirli dillere ve coğrafi bölgelere göre uyarlanmış dağıtım taktiklerini yönettiğini ortaya koymaktadır.
Çok aşamalı saldırı mekaniği
Antidot’un operasyonel karmaşıklığı, çok aşamalı dağıtım ve kaçırma stratejilerinde yatmaktadır.
Java’da geliştirilen ve yoğun bir şekilde gizlenmiş olan kötü amaçlı yazılım, kurulum sırasında şifreli dosyalardan (MITER T1407) şifrelenmiş dosyalardan dinamik olarak kötü amaçlı kod yüklemesi için antivirüs algılamasını atlatmak için ticari bir paketleyici kullanır.
Genellikle “Update.APK” olarak gizlenen ilk APK, kukla yükleme çubuğuyla meşru bir güncelleme işlemini taklit ederek kullanıcıları erişilebilirlik izinleri vermeye kandırıyor.
İzinler elde edildikten sonra, bir DEX dosya konut botnet özelliklerini açar ve WebSocket protokolleri (MITER T1071.001) aracılığıyla C2 sunucuları ile gerçek zamanlı iletişimi sağlar.
Henüz çoğu ticari güvenlik çözümü tarafından işaretlenmemiş olan bu sunucular, ekran klonlamasından (MITER T1546.008) kullanıcı etkileşimlerinden (MITER T1056.003), kripto para birimini ve ödeme uygulamalarını özelleştirilmiş kimlik ekranlarıyla hedefleyen bir dizi kötü amaçlı etkinliği kolaylaştırır.
Ek olarak, AntiDot, mesajları kesmek ve çağrı işlevlerini (MITER T1616) manipüle etmek için kendisini varsayılan SMS uygulaması (MITER T1446) olarak ayarlayabilirken, bildirimleri (MITER T1517) tespit edilmemiş kalacak şekilde bastırabilir.
Meteorjs üzerine inşa edilen C2 paneli, operatörlere ayrıntılı kurban verileri, özelleştirilebilir kaplamalar ve hassas kontrol için “StartVNC” veya “Overlay_Pin” gibi komutlar sunar ve kötü amaçlı yazılımların derinliğini bir uzaktan erişim aracı olarak vurgular.
Hedeflenen kampanyalarla artan bir endişe
Antidot kampanyalarının hedeflenen doğası, tehdit seviyesini artırır, genellikle “1206TV04” gibi yapılandırılmış adlandırma modellerini veya belirli yemleri veya bölgeleri gösteren temalı adları takip ederek kataloglanır.
Bu, muhtemelen “GACC” gibi önceden tanımlanmış komutlar aracılığıyla finansal uygulamalara ve Google hesap hırsızlığına odaklanan son derece organize bir operasyon önermektedir.
Potuna rağmen, XSS gibi platformlardaki forum yayınları, düşük müşteri desteği ve en son Android sürümleri için kötü amaçlı yazılımları güncellememe, potansiyel operasyonel zayıflıklara işaret eden LARVA-398’i eleştirdi.
Bununla birlikte, aktif enfeksiyonların saf ölçeği ve kötü amaçlı yazılımların kütükleri toplama, uygulamaları izleme ve WebView enjeksiyonlarını yürütme yeteneği, bunu önemli bir risk olarak konumlandırın.
Güvenlik ekiplerinin uyanık kalmaları, ilgili göstergeleri izlemeleri ve bu tür gelişen mobil tehditlere karşı savunmaları geliştirmeleri istenir, çünkü Antidot siber suç ekosistemindeki erişilebilir, güçlü MAAS tekliflerinin tehlikeli eğilimini örneklendirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin