Nieuwe Android Malware Surge raakt apparaten via overlays, virtualisatie -fraude en NFC -diefstal

Cyberbeveiliging
New Android Malware

Cybersecurity -onderzoekers hebben de innerlijke werking blootgesteld van een Android -malware genaamd Antidot die meer dan 3.775 apparaten heeft aangetast als onderdeel van 273 unieke campagnes.

“Gedreven door de financieel gemotiveerde dreigingsacteur larve-398, wordt Antidot actief verkocht als een malware-as-a-service (MAAS) op ondergrondse forums en is gekoppeld aan een breed scala aan mobiele campagnes,” zei PRODAFT in een rapport dat wordt gedeeld met het hacker-nieuws.

Antidot wordt geadverteerd als een “drie-in-één” oplossing met mogelijkheden om het apparaatscherm op te nemen door Android’s toegankelijkheidsservices te misbruiken, SMS-berichten te onderscheppen en gevoelige gegevens uit externe applicaties te extraheren.

Het Android -botnet wordt vermoedelijk verondersteld te worden geleverd via kwaadaardige advertentienetwerken of via sterk op maat gemaakte phishing -campagnes op basis van activiteit die wijst op selectieve targeting van slachtoffers op basis van taal en geografische locatie.

Antidot werd voor het eerst publiekelijk gedocumenteerd in mei 2024 nadat het werd opgemerkt dat werd gedistribueerd als Google Play -updates om de doelstellingen van de informatiediefstal te bereiken.

Net als andere Android Trojans, heeft het een breed scala aan mogelijkheden om overlay -aanvallen uit te voeren, logtekens en op afstand geïnfecteerde apparaten te besturen met behulp van Android’s MediaProjection API. Het stelt ook een WebSocket-communicatie op om realtime, bidirectionele communicatie tussen het geïnfecteerde apparaat en een externe server te vergemakkelijken.

In december 2024 onthulde Zimperium details van een mobiele phishing-campagne die een bijgewerkte versie van Antidot Naged Applite Banker distribueerde met behulp van de lokvogels met vacature-thema.

Uit de nieuwste bevindingen van de Zwitserse cybersecuritybedrijf blijkt dat er ten minste 11 actieve command-and-control (C2) -servers in gebruik zijn die toezicht houden op niet minder dan 3.775 geïnfecteerde apparaten op 273 verschillende campagnes.

Een op Java gebaseerde malware in de kern, Antidot wordt zwaar verdoezeld met behulp van een commerciële packer om detectie- en analyse-inspanningen te omzeilen. De malware, Per Prodaft, wordt geleverd als onderdeel van een drie-fase proces dat begint met een APK-bestand.

“Een inspectie van het AndroidManifest -bestand onthult dat veel klassennamen niet in de originele APK verschijnen,” zei het bedrijf. “Deze ontbrekende klassen worden dynamisch geladen door de packer tijdens de installatie en bevatten kwaadaardige code geëxtraheerd uit een gecodeerd bestand. Het hele mechanisme is opzettelijk vervaardigd om detectie door antivirushulpmiddelen te voorkomen.”

Eenmaal gelanceerd, serveert het een nep -updatebalk en vraagt ​​het slachtoffer om het toegankelijkheidsmachtigingen te verlenen, waarna het een DEX -bestand uitpakt en laadt met de botnetfuncties.

Een kernfunctie van Antidot is de mogelijkheid om te controleren op nieuw gelanceerde applicaties en een nep-inlogscherm van de C2-server te bedienen en te bedienen wanneer het slachtoffer een cryptocurrency- of betaalgerelateerde app opent waarin de operators geïnteresseerd zijn.

De malware misbruikt ook toegankelijkheidsservices om uitgebreide informatie te verzamelen over de inhoud van de actieve schermen en stelt zichzelf in als de standaard SMS -app voor het vastleggen van inkomende en uitgaande teksten. Bovendien kan het telefoongesprekken volgen, oproepen van specifieke nummers blokkeren of omleiden, effectief meer wegen openen voor fraude.

Een andere belangrijke functie is dat het realtime meldingen kan bijhouden die worden weergegeven in de statusbalk van het apparaat en stappen onderneemt om ze af te wijzen of te sluimeren in een poging om meldingen te onderdrukken en de gebruiker te voorkomen voor verdachte activiteiten.

PRODAFT zei dat het C2-paneel dat de afstandsbedieningsfuncties aandrijft, is gebouwd met behulp van meteorjs, een open-source JavaScript-framework dat realtime communicatie mogelijk maakt. Het paneel heeft zes verschillende tabbladen –

  • Bots, die een lijst weergeeft van alle gecompromitteerde apparaten en hun details
  • Injects, die een lijst met alle doel -apps weergeeft voor overlay -injectie en de overlay -sjabloon voor elk injecteren bekijken
  • Analytisch, dat een lijst weergeeft met applicaties die zijn geïnstalleerd op slachtofferapparaten en waarschijnlijk wordt gebruikt om nieuwe en populaire apps te identificeren voor toekomstige targeting
  • Instellingen, die de kernconfiguratie -opties voor het paneel bevatten, inclusief het bijwerken van de injects
  • Gates, die wordt gebruikt om de eindpunten van de infrastructuur te beheren waarmee de bots verbinding maken
  • Help, die ondersteuningsbronnen biedt voor het gebruik van de malware

“Antidot vertegenwoordigt een schaalbaar en ontwijkend MAAS-platform dat is ontworpen voor financieel gewin door aanhoudende controle van mobiele apparaten, vooral in gelokaliseerde en taalspecifieke regio’s,” zei het bedrijf. “De malware maakt ook gebruik van WebView -injectie en overlayaanvallen om referenties te stelen, waardoor het een serieuze bedreiging is voor de privacy van gebruikers en apparaatbeveiliging.”

Godfather keert terug

De ontwikkeling als Zimperium Zlabs zei dat het een “geavanceerde evolutie” van de peetvader Android Banking Trojan ontdekte die gebruik maakt van virtualisatie op de apparaat om legitiem mobiel bankieren en cryptocurrency-applicaties te kapen en realtime fraude uit te voeren.

“De kern van deze nieuwe techniek is de mogelijkheid van de malware om een ​​complete, geïsoleerde virtuele omgeving op het apparaat van het slachtoffer te creëren. In plaats van eenvoudigweg een inlogscherm na te bootsen, installeert de malware een kwaadwillende ‘host -applicatie die een virtualisatiekader bevat,” zei onderzoekers Fernando Ortega en Vishnu Pratapagiri.

“Deze host downloadt vervolgens en voert een kopie van de werkelijke gerichte bank- of cryptocurrency -app uit in de gecontroleerde sandbox.”

Als het slachtoffer de app lanceert, worden ze omgeleid naar het virtuele exemplaar, vanwaar hun activiteiten worden gemonitord door de dreigingsactoren. Bovendien is de nieuwste versie van Godfather -verpakkingen in functies om statische analysetools te omzeilen door gebruik te maken van zip -manipulatie en het Androidmanifest -bestand te vullen met irrelevante machtigingen.

Zoals in het geval van Antidot, vertrouwt Godfather op toegankelijkheidsdiensten om haar informatie -verzamelactiviteiten uit te voeren en gecompromitteerde apparaten te beheersen. Hoewel Google beveiligingsbeveiligingen heeft afgedwongen die voorkomen dat sideload-apps de toegankelijkheidsdienst van ANDROID 13 inschakelen, kan een sessiebaseerde installatiebenadering deze beveiliging omzeilen.

De sessie-gebaseerde methode wordt gebruikt door Android-app-winkels om de app-installatie af te handelen, net als sms-apps, e-mailclients en browsers wanneer gepresenteerd met APK-bestanden.

Centraal in het functioneren van de malware staat de virtualisatiefunctie. In de eerste fase verzamelt het informatie over de lijst met geïnstalleerde apps en cheques als het een van de vooraf bepaalde apps bevat die het is geconfigureerd om te target.

Als er wedstrijden worden gevonden, haalt het relevante informatie uit die apps uit en installeert het vervolgens een kopie van die apps in een virtuele omgeving in de Dropper -app. Dus wanneer het slachtoffer probeert de daadwerkelijke bankaanvraag op hun apparaat te lanceren, onderschept Godfather de actie en opent in plaats daarvan het gevirtualiseerde exemplaar.

Het is de moeite waard erop te wijzen dat soortgelijke virtualisatiefuncties eerder zijn gemarkeerd in een andere Android -malware -codeaam Fjordphantom, die in december 2023 door Promon werd gedocumenteerd. De methode vertegenwoordigt een paradigmaverschuiving in mobiele dreigingsmogelijkheden die verder gaan dan de traditionele overlay -tactiek om referenties te stelen en andere gevoelige gegevens.

“Hoewel deze Godfather -campagne een breed net werpt en zich wereldwijd op bijna 500 applicaties heeft gericht, onthult onze analyse dat deze zeer geavanceerde virtualisatie -aanval momenteel is gericht op een dozijn Turkse financiële instellingen,” zei het bedrijf.

“Een bijzonder alarmerende mogelijkheden die in de Godfather -malware zijn ontdekt, is het vermogen om apparaatvergrendelingsreferenties te stelen, ongeacht of het slachtoffer een ontgrendelingspatroon, een pincode of een wachtwoord gebruikt. Dit vormt een belangrijke bedreiging voor de privacy van gebruikers en apparaatbeveiliging.”

Het mobiele beveiligingsbedrijf zei dat het misbruik van toegankelijkheidsdiensten een van de vele manieren is om kwaadaardige apps te kunnen bereiken, escalatie op Android, waardoor ze machtigingen kunnen verkrijgen die hun functionele vereisten overschrijden. Deze omvatten misbruik van de machtigingen van de originele fabrikant van apparatuur (OEM) en beveiligingskwetsbaarheden in vooraf geïnstalleerde apps die niet door gebruikers kunnen worden verwijderd.

“Het voorkomen van escalatie van privileges en het beveiligen van Android-ecosystemen tegen kwaadaardige of overbevorderde toepassingen vereist meer dan gebruikersbewustzijn of reactieve patching-het vereist proactieve, schaalbare en intelligente afweermechanismen,” zei beveiligingsonderzoeker Ziv Zeira.

Supercard X Malware komt naar Rusland

De bevindingen volgen ook de eerste opgenomen pogingen om Russische gebruikers te richten met SuperCard X, een nieuw opgeruimde Android-malware die relaisaanvallen (NFC) in de buurt kan uitvoeren voor frauduleuze transacties.

Volgens het Russische Cybersecurity Company F6 is SuperCard X een kwaadaardige aanpassing van een legitiem hulpmiddel genaamd NFCGATE dat NFC -verkeer kan vastleggen of aanpassen. Het einddoel van de malware is om niet alleen NFC -verkeer van het slachtoffer te ontvangen, maar ook bankkaartgegevens gelezen door opdrachten naar de EMV -chip te verzenden.

“Met deze toepassing kunnen aanvallers bankkaartgegevens stelen door NFC -verkeer te onderscheppen voor de daaropvolgende diefstal van geld van bankrekeningen van gebruikers,” zei F6 -onderzoeker Alexander Koposov in een rapport dat deze week is gepubliceerd.

Aanvallen met behulp van SuperCard X werden eerst eerder dit jaar gericht op Android-gebruikers in Italië, waarbij NFC-technologie wordt bewapend om gegevens van fysieke kaarten van slachtoffers door te geven aan aanvallergestuurde apparaten, vanwaar ze werden gebruikt om frauduleuze ATM-intrekkingen uit te voeren of Point-of-Sale (POS) -betalingen te versterken (POS).

Het Chinees sprekende MaaS-platform, geadverteerd op Telegram als in staat om klanten van grote banken in de VS, Australië en Europa te richten, deelt aanzienlijke overlappingen op codeniveau met Ngate, een Android-malware die ook is gevonden als bewapening van NFCGate voor kwaadwillende doeleinden in de Tsjechische Republiek.

Al deze campagnes zijn verenigd door het feit dat ze vertrouwen op Smishing -technieken om een ​​potentieel slachtoffer te overtuigen van de noodzaak om een ​​APK -bestand op het apparaat te installeren onder het mom van een nuttig programma.

Kwaadaardige apps gespot in app -winkels

Hoewel alle bovengenoemde malware -stammen slachtoffers vereisen om de apps op hun apparaten te sideloaden, heeft nieuw onderzoek ook kwaadaardige apps opgegraven in de officiële Google Play Store en Apple’s App Store met mogelijkheden om persoonlijke informatie te oogsten en mnemonische zinnen te stelen die verband houden met cryptocurrency -portemonnee met het doel hun assets te dragen.

Een van de apps in kwestie, Rapiplata, wordt naar schatting ongeveer 150.000 keer gedownload op zowel Android- als iOS -apparaten, waardoor de ernst van de dreiging wordt onderstreept. De app is een soort malware die bekend staat als Spyloan, dat gebruikers lokt door te beweren leningen aan te bieden tegen lage rente, alleen om te worden onderworpen aan afpersing, chantage en gegevensdiefstal.

“Rapiplata richt zich voornamelijk op Colombiaanse gebruikers door snelle leningen te beloven,” zei Check Point. “Naast zijn roofzuchtige kredietpraktijken, houdt de app zich bezig met uitgebreide gegevensdiefstal. De app had uitgebreide toegang tot gevoelige gebruikersgegevens – inclusief sms -berichten, oproeplogboeken, agendaevenementen en geïnstalleerde applicaties – zelfs zo ver gaan om deze gegevens naar zijn servers te uploaden.”

De cryptocurrency -portemonnee phishing -apps daarentegen zijn verdeeld via gecompromitteerde ontwikkelaarsaccounts en dienen een phishing -pagina via WebView om de zaadzinnen te verkrijgen.

Hoewel deze apps sindsdien zijn verwijderd uit de respectieve app-winkels, is het gevaar dat de Android-apps beschikbaar kunnen zijn om te downloaden van websites van derden. Gebruikers wordt geadviseerd om voorzichtig te zijn bij het downloaden van financiële of leninggerelateerde aanvragen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Pixel 9 vs OnePlus 13 specificaties

De aanbiedingen van $ 100 miljoen van Meta konden openen van Openai Talent pocheren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]