Antidot: Lažno Google Play ažuriranje
U okruženju sajber prijetnji koje se stalno razvijaju, novi zlonamjerni softveri nastavljaju da se pojavljuju, što predstavlja značajan rizik za korisnike. Jedna od takvih prijetnji, uočena od stane kompanije Cyble, je Antidot – napredni Android bankarski trojanac otkriven u maju 2024. godine. Ovaj sofisticirani zlonamjerni softver se prerušava u Google Play ažuriranje, mameći nesuđene žrtve da ga preuzmu i stave svoje lične i finansijske informacije u opasnosti.
ANTIDOT
Antidot je novi bankarski trojanac za Android koji se pojavio u maju 2024. godine, prerušen u Google Play ažuriranje. On koristi prilagođene tehnike šifrovanja i zamagljivanja da ometa analizu, a prvenstveno cilja na korisnike u njemačkom, francuskom, španskom, ruskom, portugalskom, rumunskom i engleskom govornom području. Dizajniran je da ukrade akreditive putem preklapajućih napada (eng. overlay attacks) i dobije potpunu kontrolu nad zaraženim uređajem. Pored toga, ovaj zlonamjerni softver koristi prilagođeni kôd za šifrovanje kako bi prikrio znakovni niz, zajedno sa besmislenim imenima klasa, što analizu čini izazovnijom.
Imitacija Google Play ažuriranja
Google Play ažuriranja su važna, jer pomažu da aplikacije budu ažurne sa najnovijim funkcijama, bezbjednosnim ispravkama i ispravkama grešaka. Instaliranje ažuriranja čim postanu dostupne može pomoći u zaštiti uređaja od poznatih ranjivosti i poboljšanju ukupnih performansi aplikacije. Pored toga, programeri mogu da izdaju nove verzije da bi riješili probleme sa kompatibilnošću ili dodali podršku za novije Android uređaje ili funkcije operativnog sistema.
Imajući ovo na umu, Android trojanac Antidot se maskira kao aplikacija za Google Play ažuriranje nakon instalacije. To znači da kada korisnik preuzme i instalira ovaj zlonamjerni softver, on se predstavlja korisniku kao da je to zvanično ažuriranje za Google Play, zajedno sa lažnom stranicom za ažuriranje Google Play.
Ova lažna stranica za ažuriranje je prilagođena različitim jezicima, uključujući njemački, francuski, španski, ruski, portugalski, rumunski i engleski, što ukazuje na to da zlonamjerni softver cilja Android korisnike u ovim govornim regionima. Ovaj trik koriste zlonamjerni akteri kako bi obmanuli korisnike da im daju povećane dozvole za zlonamjerni softver, koje se zatim mogu koristiti za razne zlonamjerne aktivnosti kao što su krađa akreditiva ili daljinsko preuzimanje kontrole nad uređajem.
Funkcionalnost
Antidot ima nekoliko moćnih i zabrinjavajućih mogućnosti a za krađu akreditiva i dobijanje potpune kontrole uređaja. Neke od njegovih funkcionalnosti uključuju:
- VNC: Antidot može daljinski pristupiti zaraženom uređaju, omogućavajući napadaču da preuzme potpunu kontrolu nad njim kao da sjedi ispred njega. Ova funkcionalnost daje napadaču mogućnost da vidi i manipuliše svim na ekranu, što ga čini ozbiljnom prijetnjom privatnosti i bezbednosti,
- Praćenja korisničkog unosa (eng. keylogging): Antidot može da snimi svaki pritisak na taster na zaraženom uređaju, omogućavajući napadaču da uhvati korisnička imena, lozinke i druge osjetljive informacije. Ovi podaci se mogu koristiti za krađu identiteta ili finansijsku dobit,
- Snimanje ekrana: Pored praćenja korisničkog unosa, Antidot takođe može da snimi ekran zaraženog uređaja. Ovo omogućava napadaču da vidi sve što je prikazano na ekranu u realnom vremenu, što olakšava krađu akreditiva i drugih osjetljivih informacija,
- Prosljeđivanje poziva: Antidot može da preusmjeri dolazne pozive na broj koji kontroliše napadač. Ova funkcionalnost se može koristiti u različite svrhe, kao što je presretanje dvofaktorskih kôdova za autentifikaciju ili krađa vrijednih podataka o pozivima,
- Prikupljanje kontakata: Antidot može da prikuplja liste kontakata sa zaraženih uređaja, dajući napadaču pristup potencijalno osjetljivim informacijama i proširujući njihov domet za dalje napade,
- Prikupljanje SMS poruka: Pored kontakata, Antidot može da prikuplja i tekstualne poruke poslate i primljene na zaraženom uređaju. Ovi podaci se mogu koristiti u različite svrhe, kao što su phishing ili krađa identiteta,
- USSD zahtevi: Antidot može da pokrene zahteve za nestrukturirane dopunske servisne podatke (eng. Unstructured Supplementary Service Data – USSD) sa zaraženih uređaja. Ovi zahtevi omogućavaju napadaču da pristupi dodatnim informacijama i izvrši određene radnje na uređaju, kao što je provjera stanja na računu ili prenos sredstava,
- Zaključavanje/otključavanje uređaja: Antidot ima mogućnost daljinskog zaključavanja i otključavanja zaraženog uređaja. Ovo se može koristiti u različite svrhe, kao što je sprečavanje korisnika da pristupi svom telefonu ili da izgleda kao da uređaj više nije zaražen.
“Novootkriveni bankarski trojanac Antidot ističe se svojim višestrukim mogućnostima i skrivenim operacijama. Njegovo korištenje zamagljivanja stringova, šifrovanja i strateškog postavljanja lažnih stranica za ažuriranje pokazuje ciljani pristup koji ima za cilj da izbjegne otkrivanje i maksimizira svoj doseg u različitim jezičkim govornim regionima.”
– Cyble –
Komunikacija
Sistem komande i kontrole Antidot Android bankovnog trojanca igra ključnu ulogu u njegovom radu. On komunicira sa svojim serverom za komandu i kontrolu (C&C) koristeći i HTTP i WebSocket veze. Nakon instalacije, zlonamjerni softver prikazuje lažnu stranicu za ažuriranje koja preusmjerava korisnike na podešavanja pristupačnosti gdje omogućava ovu uslugu za sebe. Ovo omogućava zlonamjernom softveru da sprovodi svoje zlonamjerne aktivnosti, kao što su napadi sa preklapanjem i bilježenje unosa sa tastature.
Komunikacija između Antidot zlonamjernog softvera i njegovog C&C servera počinje sa uspostavljanjem veze preko HTTP zahteva. Kada se poveže, zlonamjerni softver koristi WebSocket komunikaciju sa bibliotekom socket.io kako bi omogućio dvosmjernu interakciju u realnom vremenu između servera i klijenta. Ovo omogućava efikasno i efektivno izvršenje komandi.
Antidot zlonamjerni softver šalje Base64 kodirane podatke koristeći “ping” poruke sa strane klijenta. C&C server odgovara uputstvima i komandama koje zlonamjerni softver izvršava na zaraženom uređaju. Ove komande uključuju prikupljanje SMS poruka, pokretanje USSD zahteva, pa čak i kontrolu funkcija uređaja kao što su kamera i zaključavanje ekrana preko VNC funkcionalnosti koristeći MediaProjection. Tu su još zlonamjerne funkcije kao što su napadi preklapanja i praćenje korisničkog unosa za kompromitovanje uređaja i prikupljanje osjetljivih informacija.
Sposobnost zlonamjernog softvera da izvrši širok spektar komandi čini ga značajnom prijetnjom, jer može da izazove značajnu štetu na zaraženim uređajima. Ako C&C server otkrije da uređaj nije ciljana meta, on daje instrukcije zlonamjernom softveru da zatraži od korisnika da se deinstalira putem “SOS” komande.
ZAKLJUČAK
Antidot je sofisticirani i opasan Android bankarski trojanac koji koristi različite metode za kompromitovanje uređaja i prikupljanje osjetljivih informacija od korisnika. Njegov širok spektar ciljeva, upotreba preklapajućih napada i praćenje korisničkog unosa, VNC implementacija koristeći MediaProjection za daljinsku kontrolu i WebSocket komunikacija sa svojim C&C serverom čine ga značajnom prijetnjom bezbjednosti Android uređaja.
Prilagođeni kôdovi za šifrovanje zlonamjernog softvera i besmislena imena klasa u izvornom kôdu dodatno komplikuju napore da se otkrije i ublaži prijetnja koju predstavlja Antidot. Zbog toga je neophodno da korisnici ostanu oprezni u odnosu na potencijalne prijetnje, da ažuriraju svoje uređaje najnovijim softverskim ispravkama i da budu oprezni kada preuzimaju aplikacije ili klikću na veze iz nepoznatih izvora.
ZAŠTITA
Evo nekoliko načina da se korisnici zaštite od Antidot Android bankarskog trojanca:
- Korisnici Android operativnog sistema treba da izbjegavaju instalaciju aplikacija iz nezvaničnih izvora i prodavnica aplikacija trećih strana i da se drže pouzdanih platformi kao što je Google Play prodavnica, koje primjenjuje procese pregleda aplikacija i bezbjednosne mjere. Iako ovo ne garantuje potpunu zaštitu, smanjuje rizik od preuzimanja zlonamjernih aplikacija,
- Prije instalacije aplikacije, korisnici trebaju da dobro pogledaju politiku privatnosti koju će aplikacija primjenjivati. Takođe, tokom instalacije aplikacije veoma je važno obratiti pažnju na podatke i dozvole kojima aplikacija traži pristup i postaviti sebi pitanja da li su ti podaci i dozvole neophodni za funkcionisanje aplikacije,
- Korisnici trebaju prilikom preuzimanja aplikacije iz Google Play prodavnice obratiti pažnju na na recenzije korisnika (možda nisu dostupne u nezvaničnim prodavnicama). Ključno je biti svjestan da pozitivne kritike mogu biti lažne kako bi se povećao kredibilitet zlonamjernih aplikacija. Korisnici bi trebalo da se usredsrede na negativne kritike i pažljivo procjene zabrinutosti korisnika, jer mogu otkriti važne informacije o zlonamjernoj aplikaciji,
- Omogućiti Google Play zaštitu, jer ona automatski skenira uređaj u potrazi za zlonamjernim softverom i održava ga ažuriranim najnovijim bezbjednosnim definicijama. Uvjeriti se da je Google Play zaštita omogućena na Android uređaju odlaskom na Podešavanja > Bezbjednost i privatnost > Google Play zaštita > Uključiti „Skeniraj aplikacije pomoću Play Protect“ (eng. Settings > Safety & privacy > Google Play protect > Turn on “Scan apps with Play Protect),
- Koristiti pouzdano rješenje za bezbjednost mobilnih uređaja i pored Google Play zaštite. Jednostavno razmisliti o korištenju dodatnog paketa bezbednosti za mobilne uređaje sa funkcijama za otkrivanje prijetnji u realnom vremenu i internet zaštitu. Ovo može pomoći da se zaštiti uređaj od različitih vrsta prijetnji, uključujući one koje se šire putem lažnih ažuriranja aplikacija ili phishing napada,
- Izbjegavati klikove na sumnjive veze, jer zlonamjerni akteri koriste elektronske poruke za “pecanje”, a zlonamjerne internet lokacije su uobičajena mjesta infekcije Android zlonamjernim softverom. Biti oprezan kada se otvaraju prilozi elektronske pošte ili prilikom klikova na veze, posebno ako potiču iz nepoznatih izvora ili kada ponude u njima izgledaju kao da su previše dobre da bi bile istinite,
- Koristite jake i jedinstvene lozinke za sve svoje naloge i razmisliti o korištenju menadžera lozinki za upravljanje njima,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće, jer dodaje dodatni nivo sigurnosti korisničkim nalozima,
- Potrebno je biti oprezan prilikom unosa osjetljivih informacija na internetu ili putem mobilnih aplikacija, posebno ako veza nije bezbjedna. Potrebno je potražiti “https” u internet adresi i ikonu katanca kako bi ste bili sigurni da je internet stranica bezbjedna,
- Redovno provjeravati bankovne i finansijske izvode za bilo kakve neovlaštene transakcije. Ako se premjeriti nešto sumnjivo, odmah kontaktirati banku.