Los investigadores de ciberseguridad han expuesto el funcionamiento interno del malware Android llamado Antídoto, que comprometió más de 3.775 dispositivos como parte de 273 campañas únicas.
«Operado por el actor de amenazas motivado financieramente LARVA-398, Antidot se vende activamente como malware como malware (MAAS) en los foros subterráneos y está vinculado a una amplia gama de campañas móviles».
Antidot se anuncia como una solución de «tres uno» con la capacidad de grabar pantallas de dispositivos abusando de los servicios de accesibilidad de Android, interceptando mensajes SMS y extrayendo datos confidenciales de aplicaciones de terceros.
Se sospecha que los botnets de Android se ofrecen a través de redes publicitarias maliciosas o campañas de phishing altamente personalizadas basadas en actividades que demuestran la orientación selectiva de las víctimas basadas en el lenguaje y la ubicación geográfica.
Antidot se publicó por primera vez en mayo de 2024 después de que se descubrió que se distribuyó como una actualización de Google Play para cumplir con sus objetivos de robo de información.
Al igual que otros troyanos de Android, tiene una amplia gama de características para usar la API MediaProyección de Android para realizar ataques superpuestos, pulsaciones de registro y dispositivos infectados controlados de forma remota. También establece comunicaciones de WebSocket para facilitar la comunicación bidireccional en tiempo real entre dispositivos infectados y servidores externos.
En diciembre de 2024, Zimperium reveló detalles de una campaña de teléfonos móviles que distribuyó una versión actualizada de Antidot doblado Banker de aplicaciones utilizando señuelos con temas de trabajo.
Los últimos hallazgos de la compañía suiza de seguridad cibernética muestran que al menos 11 servidores activos de comando y control (C2) se están ejecutando, supervisando más de 3,775 dispositivos infectados en 273 campañas diferentes.
Anti-Antot, el malware basado en Java central, está en gran medida ofuscado utilizando empacadores comerciales para evitar esfuerzos de detección y análisis. El malware, según ProDaft, se entrega como parte de un proceso de tres etapas que comienza con un archivo APK.
«Una inspección de los archivos AndroidManifest reveló que muchos nombres de clases no son visibles en el APK original», dijo la compañía. «Estas clases faltantes contienen un código malicioso que el empacador carga dinámicamente durante la instalación y se extrae de archivos cifrados. Todo el mecanismo se escribe intencionalmente para evitar la detección por herramientas antivirus».
Una vez lanzado, proporciona una barra de actualización falsa, lo que lleva a las víctimas a otorgar permisos de accesibilidad, luego desempaqueta y carga un archivo DEX con funciones de botnet que lo incorporan.
La funcionalidad central de Antidot es la capacidad de monitorear aplicaciones recién lanzadas y proporcionar una pantalla de inicio de sesión falsa desde el servidor C2 cuando la víctima abre una criptomoneda o una aplicación de interés relacionada con el pago para el operador.
El malware también abusa de los servicios de accesibilidad para recopilar información extensa sobre el contenido de las pantallas activas y establecerla como la aplicación SMS predeterminada para capturar texto entrante y saliente. Además, puede abrir efectivamente más medios de fraude al monitorear llamadas, bloquear las llamadas de ciertos números y redirigirlas.
Otra característica importante es que puede rastrear las notificaciones en tiempo real que aparecen en la barra de estado del dispositivo, y tomar medidas para rechazarlas o posponerlas para suprimir alertas y evitar advertir a los usuarios de actividades sospechosas.
Según ProDaft, el panel C2 que ejecuta las funciones de control remoto se construye con Meteorjs, un marco de JavaScript de código abierto que permite la comunicación en tiempo real. El panel tiene 6 pestañas diferentes –
Vea una lista de todos los dispositivos comprometidos y todas las aplicaciones de destino que inyectan sus detalles, y vea una plantilla de superposición para cada bots de análisis de inyección que ve una lista de todas las aplicaciones de destino instaladas en dispositivos de víctimas y pueden usarse para identificar aplicaciones nuevas y populares para la configuración de orientación futura. El punto final de infraestructura que el bot se conecta para ayudar. Proporcionar recursos de soporte para usar malware
«Antidot representa una plataforma MAAS escalable y evasiva diseñada para ganancias financieras, particularmente a través del control sostenido de dispositivos móviles en regiones localizadas específicas del lenguaje», dijo la compañía. «El malware también emplea ataques de inyección y superposición de WebView para robar credenciales, plantea una seria amenaza para la privacidad del usuario y la seguridad del dispositivo».
El padrino ha vuelto
El desarrollo, como Zimperium Zlabs, dijo que reveló la «evolución sofisticada» del troyano de la Banca Android de Padrino, que secuestra las aplicaciones legales de banca móvil y criptomonedas y utiliza virtualización en el dispositivo para llevar a cabo estafas en tiempo real.
«El núcleo de este enfoque novedoso es la capacidad del malware para crear un entorno virtual completo y aislado en el dispositivo de la víctima. En lugar de simplemente imitar la pantalla de inicio de sesión, el malware instala aplicaciones maliciosas de» host «, incluido un marco de virtualización».
«Este host descarga y ejecuta una copia de la aplicación de banca o criptomonedas de destino real en una caja de arena controlada».
Si la víctima lanza la aplicación, se redirigen a una instancia virtual en la que los actores de amenaza monitorean su actividad. Además, la última versión de Godfather presenta la capacidad de evitar herramientas de análisis estático utilizando operaciones postales y llenando archivos AndroidManifest con permisos no relacionados.
Como en el caso de Anty-Dot, el Padrino se basa en los servicios de accesibilidad para llevar a cabo actividades de recopilación de información y controlar los dispositivos comprometidos. Google ha implementado protecciones de seguridad que evitan que las aplicaciones de forma lateral permitan que los servicios de accesibilidad inicien Android 13, pero un enfoque de instalación basado en sesión puede evitar esta salvaguardia.
El método basado en la sesión se utiliza para manejar las instalaciones de aplicaciones en Android App Store y envía mensajes de texto a la aplicación, el cliente de correo electrónico y el navegador cuando se presenta en un archivo APK.
El núcleo de las características de malware es la virtualización. El primer paso es recopilar información sobre la lista de aplicaciones instaladas y verificar si se incluyen las aplicaciones específicas.
Si se encuentra una coincidencia, extraiga información relevante de esas aplicaciones e instale copias de esas aplicaciones en un entorno virtual dentro de la aplicación Dropper. Entonces, cuando la víctima intenta lanzar una aplicación bancaria real en el dispositivo, el Padrino intercepta la acción y abre una instancia virtualizada.
Vale la pena señalar que las características de virtualización similares se marcaron previamente con FjordPhantom, otro nombre en código de malware de Android, documentado por declaración en diciembre de 2023. Este método representa un cambio de paradigma en las capacidades de amenazas móviles para robar credenciales y otros datos confidenciales más allá de las tácticas superpuestas tradicionales.
«Si bien esta campaña de padrinos ha atraído una amplia gama de redes dirigidas a casi 500 aplicaciones en todo el mundo, el análisis revela que este ataque de virtualización altamente sofisticado se centra actualmente en las instituciones financieras turcas», dijo la compañía.
«Una característica particularmente sorprendente revelada en el malware del Padrino es su capacidad para robar credenciales de bloqueo de dispositivos, independientemente de si la víctima usa patrones de desbloqueo, alfileres o contraseñas. Esto plantea una gran amenaza para la privacidad del usuario y la seguridad del dispositivo».
La compañía de seguridad móvil dijo que el uso indebido de los servicios de accesibilidad es una de las muchas maneras en que las aplicaciones maliciosas pueden lograr la escalada de privilegios en Android, lo que les permite obtener permisos que excedan los requisitos funcionales. Estos incluyen el mal uso de los permisos de los fabricantes de equipos originales (OEM) y las vulnerabilidades de seguridad para aplicaciones preinstaladas que los usuarios no pueden eliminar.
«Para evitar la escalada de privilegios y garantizar el ecosistema de Android para aplicaciones maliciosas o principales, necesitamos más que conciencia del usuario y parches reactivos. Requerimos mecanismos de defensa proactivos, escalables e inteligentes».
Super Card X Malware llega a Rusia
Los hallazgos continúan al primer intento registrado de dirigir a los usuarios rusos que usan SuperCard X, un malware Android recientemente emergente que puede llevar a cabo ataques de retransmisión de comunicación de campo cercano (NFC) debido a transacciones fraudulentas.
Según la compañía rusa de ciberseguridad F6, SuperCard X es un cambio malicioso en una herramienta legítima llamada NFCGate que puede capturar o modificar el tráfico de NFC. El objetivo final del malware no es solo recibir el tráfico NFC de las víctimas, sino también recibir datos de tarjetas bancarias leídos enviando comandos al chip EMV.
«La aplicación permite a los atacantes robar datos de tarjetas bancarias interceptando el tráfico de NFC debido al posterior robo de dinero de la cuenta bancaria de un usuario», dijo el investigador de F6 Alexander Koposov en un informe publicado esta semana.
El ataque con sede en Super Card X se descubrió por primera vez a principios de este año para atacar a los usuarios de Android en Italia, armando la tecnología NFC para transmitir datos de la tarjeta física de la víctima a un dispositivo controlado por el atacante, desde el cual realizó retiros de cajeros automáticos fraudulentos y permitió pagos de punto de venta (POS).
La plataforma MAAS de habla china se promociona como capaz de dirigirse a clientes en los principales bancos de los Estados Unidos, Australia y Europa, y comparte una duplicación significativa a nivel de código con NGATE, un malware Android que armaba NFCGate con fines maliciosos en la República Checa.
Todas estas campañas se combinan por el hecho de que dependen de técnicas de amordazamiento para convencer a las posibles víctimas de la necesidad de instalar archivos APK en sus dispositivos bajo la apariencia de programas útiles.
Aplicaciones maliciosas descubiertas en la App Store
Todas las acciones de malware antes mencionadas requieren que las víctimas eliminen aplicaciones en sus dispositivos, pero una nueva investigación ha robado frases mnemónicas relacionadas con las billeteras de criptomonedas con el objetivo de desenterrar aplicaciones maliciosas en la tienda de aplicaciones de Google y Apple, recopilando información personal y activos de expulsión.
Se estima que una de las aplicaciones en cuestión, Rapiplata, se descargó aproximadamente 150,000 veces en dispositivos Android e iOS, destacando la gravedad de la amenaza. La aplicación es un tipo de malware conocido como Spyloan, que cautiva a los usuarios al afirmar que solo está expuesto al miedo, el correo de miedo y el robo de datos.
«Rapiplata se dirige a los usuarios colombianos principalmente comprometiéndose con préstamos rápidos», dijo Check Point. «Más allá de las prácticas de préstamos depredadores, la aplicación se dedica a una amplia gama de robos de datos. La aplicación ha tenido un amplio acceso a datos confidenciales del usuario, incluidos mensajes SMS, registros de llamadas, eventos calendario y aplicaciones instaladas.
Mientras tanto, las aplicaciones de phishing de billetera de criptomonedas se distribuyen a través de cuentas de desarrolladores comprometidas y obtienen frases de semillas al proporcionar páginas de phishing a través de WebView.
Estas aplicaciones se han eliminado de sus respectivas tiendas de aplicaciones, pero el peligro es que las aplicaciones de Android se pueden descargar de sitios web de terceros. Se recomienda a los usuarios que tengan precaución al descargar aplicaciones financieras o relacionadas con los préstamos.
Source link
