Los investigadores de ciberseguridad han expuesto el funcionamiento interno de un malware Android llamado contraveneno que ha comprometido más de 3.775 dispositivos como parte de 273 campañas únicas.
“Operado por el actor de amenazas motivado financieramente Oruga-398, Antidot se vende activamente como un malware como servicio (MAAS) en foros subterráneos y se ha vinculado a una amplia tono de campañas móviles”, dijo Profaft en un crónica compartido con The Hacker News.
Antidot se anuncia como una posibilidad de “tres en uno” con capacidades para registrar la pantalla del dispositivo abusando de los servicios de accesibilidad de Android, los mensajes SMS de intercepción y la procedencia de datos confidenciales de aplicaciones de terceros.
Se sospecha que el Botnet Android se entrega a través de redes publicitarias maliciosas o mediante campañas de phishing en gran medida personalizadas basadas en una actividad que indica la orientación selectiva de las víctimas basadas en el jerigonza y la ubicación geográfica.
Antidot se documentó públicamente por primera vez en mayo de 2024 posteriormente de que se vio distribuido como actualizaciones de Google Play para conseguir sus objetivos de robo de información.
Al igual que otros troyanos de Android, presenta una amplia tono de capacidades para realizar ataques superpuestos, pulsaciones de registro y controlar de forma remota dispositivos infectados utilizando la API MediaProyección de Android. Asimismo establece una comunicación WebSocket para allanar la comunicación bidireccional en tiempo verdadero entre el dispositivo infectado y un servidor forastero.
En diciembre de 2024, Zimperium reveló detalles de una campaña de phishing móvil que distribuyó una traducción actualizada de antidot Banker Applited Applite utilizando señuelos con temas de proposición de trabajo.
Los últimos hallazgos de la compañía de seguridad cibernética suiza muestran que hay al menos 11 servidores activos de comando y control (C2) en funcionamiento que supervisan no menos de 3.775 dispositivos infectados en 273 campañas distintas.
Un malware basado en Java en su núcleo, Antidot está en gran medida ofuscado utilizando un empacador comercial para evitar los esfuerzos de detección y exploración. El malware, según ProDaft, se entrega como parte de un proceso de tres etapas que comienza con un archivo APK.
“Una inspección del archivo AndroidManifest revela que muchos nombres de clases no aparecen en el APK llamativo”, dijo la compañía. “Estas clases faltantes están cargadas dinámicamente por el empacador durante la instalación e incluyen un código bellaco extraído de un archivo encriptado. Todo el mecanismo está diseñado intencionalmente para evitar la detección por herramientas antivirus”.
Una vez resuelto, sirve a una mostrador de modernización falsa y le pide a la víctima que le otorgue permisos de accesibilidad, posteriormente de lo cual desempaqueta y carga un archivo DEX que incorpora las funciones de botnet.
Una característica central de Antidot es su capacidad para monitorear las aplicaciones recién lanzadas y servir y servir una pantalla de inicio de sesión falsa del servidor C2 cuando la víctima abre una aplicación relacionada con la criptomonedas o el cuota que los operadores están interesados.
El malware asimismo abusa de los servicios de accesibilidad para compendiar información extensa sobre el contenido de las pantallas activas y se establece como la aplicación SMS predeterminada para capturar textos entrantes y salientes. Adicionalmente, puede monitorear llamadas telefónicas, circunvalar llamadas de números específicos o redirigirlas, abriendo efectivamente más vías para el fraude.
Otra característica importante es que puede realizar un seguimiento de las notificaciones en tiempo verdadero que se muestran en la mostrador de estado del dispositivo y toma medidas para descartarlas o posponerlas en un intento por suprimir alertas y evitar alertar al beneficiario de actividades sospechosas.
ProDaft dijo que el panel C2 que alimenta las funciones de control remoto está construida con Meteorjs, un situación JavaScript de código despejado que permite la comunicación en tiempo verdadero. El panel tiene seis pestañas diferentes –
- Bots, que muestra una directorio de todos los dispositivos comprometidos y sus detalles
- Inyectos, que muestra una directorio de todas las aplicaciones de destino para la inyección de superposición y ver la plantilla de superposición para cada inyección
- Analytic, que muestra una directorio de aplicaciones instaladas en dispositivos de víctimas y probablemente se utiliza para identificar aplicaciones nuevas y populares para focalización futura
- Configuración, que contiene las opciones de configuración básicas para el panel, incluida la modernización de los inyecciones
- Puertas, que se utiliza para gobernar los puntos finales de infraestructura a los que los bots se conectan
- Ayuda, que ofrece posibles de soporte para usar el malware
“Antidot representa una plataforma MAAS escalable y evasiva diseñada para una provecho financiera a través del control persistente de dispositivos móviles, especialmente en regiones localizadas y específicas del jerigonza”, dijo la compañía. “El malware asimismo emplea los ataques de inyección y superposición de WebView para robar credenciales, por lo que es una seria amenaza para la privacidad del beneficiario y la seguridad del dispositivo”.
El padrino regresa
El explicación como Zimperium Zlabs dijo que descubrió una “desarrollo sofisticada” del troyano de banca Android Android que utiliza la virtualización en el dispositivo para secuestrar aplicaciones legítimas de banca móvil y criptomonedas y aguantar a final fraude en tiempo verdadero.
“El núcleo de esta técnica novedosa es la capacidad del malware para crear un entorno potencial completo y accidental en el dispositivo de la víctima. En empleo de simplemente imitar una pantalla de inicio de sesión, el malware instala una aplicación maliciosa de” host “que contiene un situación de virtualización”, dijeron los investigadores Fernando Ortega y Vishnu Pratapagiri.
“Este host luego descarga y ejecuta una copia de la aplicación de banca o criptomonedas dirigida verdadero adentro de su Sandbox controlado”.
Si la víctima gancho la aplicación, se redirigen a la instancia potencial, desde donde los actores de amenazas monitorean sus actividades. Adicionalmente, la última traducción de Godfather empaca en funciones para evitar herramientas de exploración asombrado haciendo uso de la manipulación con zip y llenando el archivo AndroidManifest con permisos irrelevantes.
Al igual que en el caso del contraveneno, el padrino se fundamento en los servicios de accesibilidad para aguantar a final sus actividades de sumario de información y controlar los dispositivos comprometidos. Si perfectamente Google ha impuesto las protecciones de seguridad que impiden que las aplicaciones laterales permitan que el servicio de accesibilidad inicie Android 13, un enfoque de instalación basado en la sesión puede moverse por esta protección.
El método basado en la sesión es utilizado por Android App Stores para manejar la instalación de aplicaciones, al igual que las aplicaciones de mensajes de texto, los clientes de correo y los navegadores cuando se presenta con archivos APK.
Central para el funcionamiento del malware es su característica de virtualización. En la primera etapa, recopila información sobre la directorio de aplicaciones y verificaciones instaladas si incluye alguna de las aplicaciones predeterminadas que está configurada para apuntar.
Si se encuentran coincidencias, extrae información relevante de esas aplicaciones y luego procede a instalar una copia de esas aplicaciones en un entorno potencial adentro de la aplicación Dropper. Por lo tanto, cuando la víctima intenta propalar la aplicación bancaria verdadero en su dispositivo, el padrino intercepta la movimiento y abre la instancia virtualizada.
Vale la pena señalar que las características de virtualización similares se marcaron previamente en otro malware de Android con nombre en código FJordPhantom, que fue documentado por Promon en diciembre de 2023. El método representa un cambio de tipo en las capacidades de amenazas móviles que van más allá de la táctica de superposición tradicional para robar credenciales y otros datos sensibles.
“Si perfectamente esta campaña de Padrino gancho una amplia red, dirigida a casi 500 aplicaciones a nivel mundial, nuestro exploración revela que este ataque de virtualización en gran medida sofisticado se centra actualmente en una docena de instituciones financieras turcas”, dijo la compañía.
“Una capacidad particularmente amenazador descubierta en el malware del padrino es su capacidad para robar credenciales de separación de dispositivos, independientemente de si la víctima usa un patrón de desbloqueo, un PIN o una contraseña. Esto plantea una amenaza significativa para la privacidad del beneficiario y la seguridad del dispositivo”.
La compañía de seguridad móvil dijo que el exceso de los servicios de accesibilidad es una de las muchas formas en que las aplicaciones maliciosas pueden conseguir la ascensión de privilegios en Android, lo que les permite obtener permisos que exceden sus requisitos funcionales. Estos incluyen el uso indebido de los permisos del fabricante de equipos originales (OEM) y las vulnerabilidades de seguridad en aplicaciones preinstaladas que los usuarios no pueden eliminar.
“Precaver la ascensión de privilegios y la consecución de ecosistemas de Android contra aplicaciones maliciosas o sobre privilegiadas requiere más que la conciencia del beneficiario o los parches reactivos: exige mecanismos de defensa proactivos, escalables e inteligentes”, dijo el investigador de seguridad Ziv Zeira.
Supercard X malware llega a Rusia
Los hallazgos asimismo siguen los primeros intentos registrados para atacar a los usuarios rusos con SuperCard X, un recientemente emergido de malware Android que puede realizar ataques de retransmisión de comunicación de campo cercano (NFC) para transacciones fraudulentas.
Según la compañía rusa de ciberseguridad F6, SuperCard X es una modificación maliciosa de una aparejo legítima emplazamiento NFCGate que puede capturar o modificar el tráfico de NFC. El objetivo final del malware no solo es acoger el tráfico NFC de la víctima, sino asimismo los datos de la polímero bancaria leídos enviando comandos a su chip EMV.
“Esta aplicación permite a los atacantes robar datos de tarjetas bancarias interceptando el tráfico de NFC por el robo posterior de billete de las cuentas bancarias de los usuarios”, dijo el investigador de F6 Alexander Koposov en un crónica publicado esta semana.
Los ataques que aprovechan la Supercard X fueron vistos por primera vez dirigidos a los usuarios de Android en Italia a principios de este año, armando la tecnología NFC para transmitir datos de las cartas físicas de las víctimas a dispositivos controlados por el atacante, desde donde se usaron para aguantar a final retiros de cajeros automáticos fraudulentos o autorizar pagos de punto de cesión (POS).
La plataforma MAAS de palabra china, anunciada en Telegram como capaz de dirigirse a clientes de los principales bancos en los Estados Unidos, Australia y Europa, comparte superposiciones sustanciales a nivel de código con Ngate, un malware de Android que asimismo se ha antitético con el armamento de NFCGate con fines maliciosos en la República Checa.
Todas estas campañas están unidas por el hecho de que dependen de técnicas de amordazamiento para convencer a una posible víctima de la aprieto de instalar un archivo APK en el dispositivo bajo la apariencia de un software útil.
Aplicaciones maliciosas vistas en tiendas de aplicaciones
Si perfectamente todas las cepas de malware antiguamente mencionadas requieren que las víctimas resuelvan las aplicaciones en sus dispositivos, una nueva investigación asimismo ha desenterrado aplicaciones maliciosas en la tienda oficial de Google Play y la tienda de aplicaciones de Apple con capacidades para cosechar información personal y robar frases mnemónicas asociadas con billeteras de criptogrimidas con el objetivo de agotar sus activos.
Se estima que una de las aplicaciones en cuestión, Rapiplata, se descargó en torno a de 150,000 veces en dispositivos Android e iOS, lo que subraya la agravación de la amenaza. La aplicación es un tipo de malware conocido como Spyloan, que atrae a los usuarios al afirmar que ofrece préstamos a tasas de herido interés, solo para ser sometido a perjuicio, chantaje y robo de datos.
“Rapiplata se dirige principalmente a los usuarios colombianos al prometer préstamos rápidos”, dijo Check Point. “Más allá de sus prácticas de préstamos depredadores, la aplicación se involucra en un robo de datos extenso. La aplicación tenía un amplio comunicación a datos confidenciales del beneficiario, incluidos mensajes SMS, registros de llamadas, eventos calendario y aplicaciones instaladas, incluso llegando a cargar estos datos en sus servidores”.
Las aplicaciones de phishing de billetera de criptomonedas, por otro flanco, se han distribuido a través de cuentas de desarrolladores comprometidas y sirven una página de phishing a través de WebView para obtener las frases de semillas.
Aunque estas aplicaciones se han eliminado desde las tiendas de aplicaciones respectivas, el peligro es que las aplicaciones de Android podrían estar disponibles para descargar desde sitios web de terceros. Se recomienda a los usuarios que tengan precaución al descargar aplicaciones financieras o relacionadas con los préstamos.
