Nel panorama sempre in evoluzione delle minacce informatiche, ha fatto la sua comparsa il malware Android chiamato “Antidot”. Scoperto dalla società di threat intelligence Cyble, Antidot rappresenta una seria minaccia per gli utenti di dispositivi Android. Secondo la ricerca, Antidot sfrutta le vulnerabilità del sistema operativo Android per ottenere persistenza ed eludere il rilevamento e impiega inoltre tecniche di offuscamento, ostacolando l’analisi e la mitigazione.
Come funziona
Il trojan si diffonde attraverso pagine di aggiornamento false di Google Play, progettate per ingannare l’utente e ottenere permessi elevati (richiede all’utente di concedere servizi di accessibilità). Queste pagine sono personalizzate in base alla lingua del dispositivo, indicando che gli obiettivi sono distribuiti in diverse regioni.
Una volta installato e concessi i permessi, in background, Antidot avvia una comunicazione WebSocket bidirezionale con il suo server C2 (“hxxp://46[.]228.205.159:5055/”).
“Una volta che il malware riesce ad accedere al servizio di accessibilità, trasmette i dati relativi al dispositivo e i nomi dei pacchetti delle applicazioni installate. Se il server determina che il dispositivo non è l’obiettivo previsto, invia il comando “SOS” al malware.”, spiegano i ricercatori. “Ciò richiede la visualizzazione di una finestra di dialogo, che richiede alla vittima di disinstallare l’applicazione e interrompe qualsiasi ulteriore trasmissione di comandi al bot.“.
Il trojan utilizza attacchi overlay per raccogliere le credenziali delle vittime, sfruttando tecniche come il keylogging e il controllo remoto tramite VNC (Virtual Network Computing). Questo permette agli attaccanti di prendere il controllo del dispositivo infetto e di eseguire anche altre operazioni:
– Registrazione dello schermo per catturare ogni azione.
– Inoltro delle chiamate per deviare le comunicazioni.
– Raccolta di contatti e messaggi SMS per accedere a informazioni personali.
– Esecuzione di richieste USSD per interagire con la rete mobile.
Una minaccia per privacy e sicurezza
Per proteggersi da Antidot, gli utenti devono essere cauti con le autorizzazioni concesse alle app e diffidare di qualsiasi messaggio di aggiornamento sospetto che non provenga da fonti ufficiali. È essenziale installare soluzioni antivirus affidabili e mantenere aggiornato il sistema operativo. Con la sua capacità di eludere le misure di sicurezza tradizionali e di sfruttare la fiducia degli utenti, questo trojan bancario Android rappresenta una minaccia significativa per la privacy e la sicurezza finanziaria degli utenti.