Antidot: новый банковский троян притворяется обновлениями Google Play
leer en español

Исследователи из компании Cyble обнаружили новый банковский троян, нацеленный на устройства Android. Сложное вредоносное ПО обладает множеством опасных функций, включая атаки наложения, кейлоггинг и методы маскировки.

Троян получил название «Antidot» исходя из строки, найденной в его исходном коде. Его главная особенность состоит в том, что он маскируется под официальные обновления Google Play и поддерживает сразу несколько языков, среди которых английский, немецкий, французский, испанский, португальский, румынский и даже русский.

Сам вредонос распространяется как обновление для Google Play и на устройстве жертвы отображается под названием «New Version». После установки и его первого запуска, пользователь видит поддельную страницу, якобы от Google Play, с подробной инструкцией, что нужно сделать для «завершения обновления».

Нажатие на кнопку «Продолжить» приводит к перенаправлению жертвы в настройки специальных возможностей Android, где вредоносному приложению требуется выдать ряд разрешений, среди которых, например, полный доступ к изображению на экране смартфона, уведомлениям, а также расширенным возможностям по управления системой, включая нажатия, свайпы и жесты.

После предоставления необходимых разрешений, троян отправляет первый на удалённый сервер пинг-сообщение с рядом данных, закодированных в Base64. Эти данные включают:

• название вредоносного приложения;
• версию Software Development Kit (SDK);
• производителя и модель смартфона;
• язык и код страны;
• список установленных приложений на устройстве.

В фоновом режиме троян устанавливает связь с командным сервером через HTTP и использует библиотеку «socket.io» для двусторонней коммуникации в реальном времени. Это позволяет поддерживать связь между сервером и клиентом с помощью сообщений «ping» и «pong».

После генерации бот-идентификатора сервером, Antidot отправляет статистику на сервер и получает команды. Всего троян поддерживает 35 команд, среди которых, например:

• виртуальные сетевые вычисления (VNC);
• кейлоггинг;
• атаки наложения;
• запись экрана;
• переадресация звонков;
• сбор контактов и SMS;
• выполнение USSD-запросов;
• блокировка и разблокировка устройства.

«Использование обфускации строк, шифрования и подделки страниц обновления демонстрируют целенаправленный подход, направленный на избегание обнаружения и максимизацию охвата на различных языках», — отметили исследователи Cyble.

Для защиты от этой и других мобильных угроз эксперты рекомендуют:

• устанавливать ПО только из официальных магазинов приложений, таких как Google Play для Android и App Store для iOS;
• использовать надёжные антивирусные программы и средства интернет-безопасности;
• применять надёжные пароли в связке с многофакторной аутентификацией (MFA);
• быть осторожными при открытии ссылок, полученных по SMS или электронной почте;
• всегда включать Google Play Protect на Android-устройствах;
• внимательно относиться к предоставляемым приложениям разрешениям;
• своевременно устанавливать легитимные обновления ПО на свои устройства.

Эти меры помогут минимизировать риск заражения и сохранить безопасность личных данных на мобильных устройствах.