Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles AntiDot, logiciel malveillant Android

AntiDot, logiciel malveillant Android

Par Mezo en Logiciels malveillants mobiles
Se traduisent par :

Des chercheurs en cybersécurité ont levé le voile sur AntiDot, un malware Android sophistiqué qui a infecté des milliers d'appareils via des centaines de campagnes malveillantes. Lié à un acteur malveillant connu sous le nom de LARVA-398, ce malware illustre le danger croissant que représentent les offres mobiles de Malware-as-a-Service (MaaS) sur le dark web.

Une menace croissante : ampleur et portée de l’attaque

AntiDot a été associé à 273 campagnes distinctes, compromettant plus de 3 775 appareils Android. Ces campagnes sont très ciblées, souvent basées sur la langue et la localisation géographique, ce qui suggère un profilage sélectif des victimes. Le malware est principalement diffusé via des réseaux publicitaires malveillants et des campagnes de phishing, notamment de fausses mises à jour de Google Play.

MaaS pour mobile : le modèle économique de LARVA-398

Commercialisée comme une solution « trois en un », AntiDot est vendue sur des forums clandestins, offrant aux acteurs de la menace une boîte à outils puissante pour :

  • Enregistrement d'écran via un abus d'accessibilité
  • Interception de SMS
  • Extraction de données à partir d'applications tierces

Cette commercialisation l’a rendu accessible à un plus large éventail de cybercriminels, abaissant ainsi la barrière au lancement d’attaques mobiles avancées.

Fonctionnalités avancées : ce que peut faire AntiDot

AntiDot est doté d'un large éventail de fonctionnalités malveillantes permettant aux attaquants de maintenir un contrôle permanent et furtif sur les appareils infectés. Il effectue des attaques par superposition en affichant de faux écrans de connexion imitant de manière convaincante des applications légitimes, dérobant ainsi les identifiants des utilisateurs. Le logiciel malveillant enregistre également les frappes au clavier et surveille le contenu de l'écran pour capturer des informations sensibles. Grâce à l'API MediaProjection d'Android, il peut contrôler l'appareil à distance, tout en maintenant une communication en temps réel avec ses serveurs de commande et de contrôle via des connexions WebSocket.

AntiDot exploite les services d'accessibilité pour collecter des données importantes sur l'appareil et se définit comme application SMS par défaut pour intercepter les messages entrants et sortants. De plus, il manipule les appels téléphoniques en les bloquant ou en les redirigeant, et supprime les notifications pour éviter d'alerter l'utilisateur d'une activité suspecte. L'ensemble de ces fonctionnalités offre aux attaquants un accès et un contrôle complets sur l'appareil de la victime.

Chaîne de distribution : un processus d’infection en trois étapes

Le logiciel malveillant est diffusé sous une forme en plusieurs étapes :

Fichier APK initial – Distribué dans le cadre d’une tentative de phishing ou de fausses mises à jour.

Chargement de classe dynamique – Les classes obscurcies non présentes dans l’APK sont chargées lors de l’installation.

Exécution du fichier DEX – Après avoir obtenu les autorisations d’accessibilité, le logiciel malveillant décompresse et charge un fichier DEX malveillant contenant le code du botnet.

L'utilisation par AntiDot de packers commerciaux et de charges utiles cryptées entrave considérablement la détection et la rétro-ingénierie.

Interfaces fictives et vol d’identifiants

Une tactique clé d'AntiDot consiste à afficher de faux écrans de connexion lorsque les utilisateurs ouvrent des applications de cryptomonnaie ou financières. Ces écrans sont récupérés en temps réel depuis un serveur de commande et de contrôle (C2), permettant aux attaquants de récupérer des identifiants sensibles sans éveiller les soupçons des utilisateurs.

Infrastructure C2 d’AntiDot : conçue pour l’efficacité

Le panneau de contrôle à distance du malware est basé sur MeteorJS, permettant une interaction fluide et en temps réel avec les appareils infectés. Il comprend six sections distinctes :

  • Bots : affiche les appareils infectés et leurs métadonnées
  • Injections : répertorie les applications cibles pour les attaques par superposition et les modèles
  • Analytique : suit les applications installées pour identifier les tendances et les cibles futures
  • Paramètres : contrôle les paramètres d'injection et le comportement des logiciels malveillants
  • Gates : gère les points de terminaison de communication des robots
  • Aide : fournit une assistance utilisateur aux opérateurs de logiciels malveillants

Localisé et persistant : le véritable danger d’AntiDot

AntiDot est bien plus qu'un simple cheval de Troie Android : c'est une plateforme MaaS évolutive et évasive qui cible la fraude financière grâce à un ciblage localisé. Grâce à des techniques telles que l'injection de WebView, le vol d'identifiants par superposition et les communications C2 en temps réel, elle représente une menace sérieuse pour la confidentialité des utilisateurs et la sécurité mobile.

Les chercheurs avertissent que l'adoption croissante d'AntiDot et l'évolution des tactiques soulignent le besoin urgent de pratiques de sécurité Android améliorées, de mises à jour régulières et de sensibilisation des utilisateurs pour lutter contre des menaces de plus en plus furtives comme celle-ci.

Tendance

Le plus regardé

Chargement...