AntiDot no es un medicamento, sino una jeringa con un troyano: fácil de instalar, pero doloroso y doloroso de eliminar
Todo empieza con el botón "Instalar" y termina con súplicas para que lo devuelvan todo.
La empresa suiza PRODAFT publicó detalles sobre una campaña maliciosa a gran escala relacionada con un troyano para Android llamado AntiDot. Según los expertos, el programa malicioso ya ha infectado más de 3.775 dispositivos en el marco de 273 ataques distintos y se utiliza activamente en esquemas orientados al robo de datos personales e información financiera.
Detrás del desarrollo y la distribución de AntiDot se encuentra el grupo LARVA-398, motivado por fines lucrativos. El malware se distribuye bajo el modelo de "malware como servicio" (MaaS) a través de foros clandestinos en línea y se utiliza en ataques dirigidos a países y comunidades lingüísticas específicas. Su propagación se realiza mediante redes publicitarias maliciosas y campañas de phishing con segmentación personalizada.
AntiDot se presenta como una herramienta universal de espionaje. Puede grabar la pantalla del dispositivo, interceptar mensajes SMS y recopilar datos de aplicaciones de terceros. El núcleo del troyano es un programa Java oculto mediante un empaquetador comercial que dificulta su análisis y detección. La descompresión del código malicioso se realiza en tres etapas, comenzando con un archivo APK que se instala en el dispositivo.
Una característica destacada es el uso de la API MediaProjection y del servicio de accesibilidad de Android, lo que permite a los atacantes controlar la pantalla, registrar pulsaciones de teclas, manejar el dispositivo de forma remota y obtener información sobre las acciones del usuario en tiempo real. Para eludir las protecciones, durante la instalación AntiDot solicita permisos de acceso a funciones de accesibilidad y despliega un archivo DEX malicioso que contiene la lógica principal del botnet.
Cuando la víctima ejecuta aplicaciones relacionadas con criptomonedas o pagos, AntiDot sustituye las pantallas reales por páginas falsas de inicio de sesión, cargadas desde un servidor de comando y control. Esta técnica, conocida como ataque de superposición, se utiliza para robar credenciales. Además, el troyano se establece como la aplicación principal de SMS, interceptando mensajes entrantes y salientes, monitoreando llamadas, redirigiéndolas o bloqueándolas según una lista de números.
Además, AntiDot supervisa las notificaciones del sistema en el dispositivo, eliminando o ocultando alertas para que el usuario no sospeche de actividades sospechosas. Todo el control de los dispositivos infectados se realiza a través de un panel C2 desarrollado con MeteorJS. Este panel incluye pestañas para analizar las aplicaciones instaladas, configurar ataques, ver dispositivos infectados, gestionar puntos de conexión e incluso una sección de ayuda integrada.
La plataforma demuestra un alto grado de adaptabilidad y está orientada al beneficio financiero mediante el control persistente de dispositivos móviles, especialmente en países con preferencias lingüísticas localizadas. Entre otras cosas, AntiDot utiliza inyecciones WebView e imita interfaces de aplicaciones bancarias y de pago, lo que lo hace especialmente peligroso para la privacidad de los usuarios.