Los investigadores de ciberseguridad han expuesto el funcionamiento interno de un malware Android llamado contraveneno que ha comprometido más de 3.775 dispositivos como parte de 273 campañas únicas.
«Operado por el actor de amenazas motivado financieramente Oruga-398, Antidot se vende activamente como un malware como servicio (MAAS) en foros subterráneos y se ha vinculado a una amplia tono de campañas móviles», dijo Profaft en un mensaje compartido con The Hacker News.
Antidot se anuncia como una decisión de «tres en uno» con capacidades para registrar la pantalla del dispositivo abusando de los servicios de accesibilidad de Android, los mensajes SMS de intercepción y la procedencia de datos confidenciales de aplicaciones de terceros.
Se sospecha que el Botnet Android se entrega a través de redes publicitarias maliciosas o mediante campañas de phishing en gran medida personalizadas basadas en una actividad que indica la orientación selectiva de las víctimas basadas en el jerga y la ubicación geográfica.
Antidot se documentó públicamente por primera vez en mayo de 2024 posteriormente de que se vio distribuido como actualizaciones de Google Play para ganar sus objetivos de robo de información.
Al igual que otros troyanos de Android, presenta una amplia tono de capacidades para realizar ataques superpuestos, pulsaciones de registro y controlar de forma remota dispositivos infectados utilizando la API MediaProyección de Android. Además establece una comunicación WebSocket para solucionar la comunicación bidireccional en tiempo positivo entre el dispositivo infectado y un servidor extranjero.
En diciembre de 2024, Zimperium reveló detalles de una campaña de phishing móvil que distribuyó una traducción actualizada de antidot Banker Applited Applite utilizando señuelos con temas de propuesta de trabajo.
Los últimos hallazgos de la compañía de seguridad cibernética suiza muestran que hay al menos 11 servidores activos de comando y control (C2) en funcionamiento que supervisan no menos de 3.775 dispositivos infectados en 273 campañas distintas.
Un malware basado en Java en su núcleo, Antidot está en gran medida ofuscado utilizando un empacador comercial para evitar los esfuerzos de detección y prospección. El malware, según ProDaft, se entrega como parte de un proceso de tres etapas que comienza con un archivo APK.
«Una inspección del archivo AndroidManifest revela que muchos nombres de clases no aparecen en el APK diferente», dijo la compañía. «Estas clases faltantes están cargadas dinámicamente por el empacador durante la instalación e incluyen un código solapado extraído de un archivo encriptado. Todo el mecanismo está diseñado intencionalmente para evitar la detección por herramientas antivirus».
Una vez animado, sirve a una mostrador de modernización falsa y le pide a la víctima que le otorgue permisos de accesibilidad, posteriormente de lo cual desempaqueta y carga un archivo DEX que incorpora las funciones de botnet.
Una característica central de Antidot es su capacidad para monitorear las aplicaciones recién lanzadas y servir y servir una pantalla de inicio de sesión falsa del servidor C2 cuando la víctima abre una aplicación relacionada con la criptomonedas o el plazo que los operadores están interesados.
El malware todavía abusa de los servicios de accesibilidad para compendiar información extensa sobre el contenido de las pantallas activas y se establece como la aplicación SMS predeterminada para capturar textos entrantes y salientes. Encima, puede monitorear llamadas telefónicas, incomunicar llamadas de números específicos o redirigirlas, abriendo efectivamente más vías para el fraude.
Otra característica importante es que puede realizar un seguimiento de las notificaciones en tiempo positivo que se muestran en la mostrador de estado del dispositivo y toma medidas para descartarlas o posponerlas en un intento por suprimir alertas y evitar alertar al legatario de actividades sospechosas.
ProDaft dijo que el panel C2 que alimenta las funciones de control remoto está construida con Meteorjs, un ámbito JavaScript de código hendido que permite la comunicación en tiempo positivo. El panel tiene seis pestañas diferentes –
- Bots, que muestra una serie de todos los dispositivos comprometidos y sus detalles
- Inyectos, que muestra una serie de todas las aplicaciones de destino para la inyección de superposición y ver la plantilla de superposición para cada inyección
- Analytic, que muestra una serie de aplicaciones instaladas en dispositivos de víctimas y probablemente se utiliza para identificar aplicaciones nuevas y populares para focalización futura
- Configuración, que contiene las opciones de configuración básicas para el panel, incluida la modernización de los inyecciones
- Puertas, que se utiliza para gobernar los puntos finales de infraestructura a los que los bots se conectan
- Ayuda, que ofrece posibles de soporte para usar el malware
«Antidot representa una plataforma MAAS escalable y evasiva diseñada para una provecho financiera a través del control persistente de dispositivos móviles, especialmente en regiones localizadas y específicas del jerga», dijo la compañía. «El malware todavía emplea los ataques de inyección y superposición de WebView para robar credenciales, por lo que es una seria amenaza para la privacidad del legatario y la seguridad del dispositivo».
El padrino regresa
El avance como Zimperium Zlabs dijo que descubrió una «transformación sofisticada» del troyano de banca Android Android que utiliza la virtualización en el dispositivo para secuestrar aplicaciones legítimas de banca móvil y criptomonedas y transigir a lugar fraude en tiempo positivo.
«El núcleo de esta técnica novedosa es la capacidad del malware para crear un entorno potencial completo y accidental en el dispositivo de la víctima. En extensión de simplemente imitar una pantalla de inicio de sesión, el malware instala una aplicación maliciosa de» host «que contiene un ámbito de virtualización», dijeron los investigadores Fernando Ortega y Vishnu Pratapagiri.
«Este host luego descarga y ejecuta una copia de la aplicación de banca o criptomonedas dirigida positivo internamente de su Sandbox controlado».
Si la víctima aguijada la aplicación, se redirigen a la instancia potencial, desde donde los actores de amenazas monitorean sus actividades. Encima, la última traducción de Godfather empaca en funciones para evitar herramientas de prospección fijo haciendo uso de la manipulación con zip y llenando el archivo AndroidManifest con permisos irrelevantes.
Al igual que en el caso del contraveneno, el padrino se base en los servicios de accesibilidad para transigir a lugar sus actividades de compendio de información y controlar los dispositivos comprometidos. Si admisiblemente Google ha impuesto las protecciones de seguridad que impiden que las aplicaciones laterales permitan que el servicio de accesibilidad inicie Android 13, un enfoque de instalación basado en la sesión puede moverse por esta protección.
El método basado en la sesión es utilizado por Android App Stores para manejar la instalación de aplicaciones, al igual que las aplicaciones de mensajes de texto, los clientes de correo y los navegadores cuando se presenta con archivos APK.
Central para el funcionamiento del malware es su característica de virtualización. En la primera etapa, recopila información sobre la serie de aplicaciones y verificaciones instaladas si incluye alguna de las aplicaciones predeterminadas que está configurada para apuntar.
Si se encuentran coincidencias, extrae información relevante de esas aplicaciones y luego procede a instalar una copia de esas aplicaciones en un entorno potencial internamente de la aplicación Dropper. Por lo tanto, cuando la víctima intenta difundir la aplicación bancaria positivo en su dispositivo, el padrino intercepta la batalla y abre la instancia virtualizada.
Vale la pena señalar que las características de virtualización similares se marcaron previamente en otro malware de Android con nombre en código FJordPhantom, que fue documentado por Promon en diciembre de 2023. El método representa un cambio de modelo en las capacidades de amenazas móviles que van más allá de la táctica de superposición tradicional para robar credenciales y otros datos sensibles.
«Si admisiblemente esta campaña de Padrino aguijada una amplia red, dirigida a casi 500 aplicaciones a nivel mundial, nuestro prospección revela que este ataque de virtualización en gran medida sofisticado se centra actualmente en una docena de instituciones financieras turcas», dijo la compañía.
«Una capacidad particularmente inquietante descubierta en el malware del padrino es su capacidad para robar credenciales de corte de dispositivos, independientemente de si la víctima usa un patrón de desbloqueo, un PIN o una contraseña. Esto plantea una amenaza significativa para la privacidad del legatario y la seguridad del dispositivo».
La compañía de seguridad móvil dijo que el exceso de los servicios de accesibilidad es una de las muchas formas en que las aplicaciones maliciosas pueden ganar la ascensión de privilegios en Android, lo que les permite obtener permisos que exceden sus requisitos funcionales. Estos incluyen el uso indebido de los permisos del fabricante de equipos originales (OEM) y las vulnerabilidades de seguridad en aplicaciones preinstaladas que los usuarios no pueden eliminar.
«Alertar la ascensión de privilegios y la producción de ecosistemas de Android contra aplicaciones maliciosas o sobre privilegiadas requiere más que la conciencia del legatario o los parches reactivos: exige mecanismos de defensa proactivos, escalables e inteligentes», dijo el investigador de seguridad Ziv Zeira.
Supercard X malware llega a Rusia
Los hallazgos todavía siguen los primeros intentos registrados para atacar a los usuarios rusos con SuperCard X, un recientemente emergido de malware Android que puede realizar ataques de retransmisión de comunicación de campo cercano (NFC) para transacciones fraudulentas.
Según la compañía rusa de ciberseguridad F6, SuperCard X es una modificación maliciosa de una aparejo legítima convocatoria NFCGate que puede capturar o modificar el tráfico de NFC. El objetivo final del malware no solo es admitir el tráfico NFC de la víctima, sino todavía los datos de la polímero bancaria leídos enviando comandos a su chip EMV.
«Esta aplicación permite a los atacantes robar datos de tarjetas bancarias interceptando el tráfico de NFC por el robo posterior de efectivo de las cuentas bancarias de los usuarios», dijo el investigador de F6 Alexander Koposov en un mensaje publicado esta semana.
Los ataques que aprovechan la Supercard X fueron vistos por primera vez dirigidos a los usuarios de Android en Italia a principios de este año, armando la tecnología NFC para transmitir datos de las cartas físicas de las víctimas a dispositivos controlados por el atacante, desde donde se usaron para transigir a lugar retiros de cajeros automáticos fraudulentos o autorizar pagos de punto de traspaso (POS).
La plataforma MAAS de deje china, anunciada en Telegram como capaz de dirigirse a clientes de los principales bancos en los Estados Unidos, Australia y Europa, comparte superposiciones sustanciales a nivel de código con Ngate, un malware de Android que todavía se ha opuesto con el armas de NFCGate con fines maliciosos en la República Checa.
Todas estas campañas están unidas por el hecho de que dependen de técnicas de amordazamiento para convencer a una posible víctima de la carestia de instalar un archivo APK en el dispositivo bajo la apariencia de un software útil.
Aplicaciones maliciosas vistas en tiendas de aplicaciones
Si admisiblemente todas las cepas de malware antaño mencionadas requieren que las víctimas resuelvan las aplicaciones en sus dispositivos, una nueva investigación todavía ha desenterrado aplicaciones maliciosas en la tienda oficial de Google Play y la tienda de aplicaciones de Apple con capacidades para cosechar información personal y robar frases mnemónicas asociadas con billeteras de criptogrimidas con el objetivo de agotar sus activos.
Se estima que una de las aplicaciones en cuestión, Rapiplata, se descargó rodeando de 150,000 veces en dispositivos Android e iOS, lo que subraya la importancia de la amenaza. La aplicación es un tipo de malware conocido como Spyloan, que atrae a los usuarios al afirmar que ofrece préstamos a tasas de muerto interés, solo para ser sometido a perjuicio, chantaje y robo de datos.
«Rapiplata se dirige principalmente a los usuarios colombianos al prometer préstamos rápidos», dijo Check Point. «Más allá de sus prácticas de préstamos depredadores, la aplicación se involucra en un robo de datos extenso. La aplicación tenía un amplio paso a datos confidenciales del legatario, incluidos mensajes SMS, registros de llamadas, eventos calendario y aplicaciones instaladas, incluso llegando a cargar estos datos en sus servidores».
Las aplicaciones de phishing de billetera de criptomonedas, por otro flanco, se han distribuido a través de cuentas de desarrolladores comprometidas y sirven una página de phishing a través de WebView para obtener las frases de semillas.
Aunque estas aplicaciones se han eliminado desde las tiendas de aplicaciones respectivas, el peligro es que las aplicaciones de Android podrían estar disponibles para descargar desde sitios web de terceros. Se recomienda a los usuarios que tengan precaución al descargar aplicaciones financieras o relacionadas con los préstamos.
