複数ライセンス割引見積
脅威データベース モバイルマルウェア アンチドット Android マルウェア

アンチドット Android マルウェア

モバイルマルウェアMezoまで
翻訳内容:

サイバーセキュリティ研究者らは、数百件の悪意あるキャンペーンを通じて数千台のデバイスに感染した高度なAndroidマルウェア「AntiDot」の正体を暴きました。LARVA-398として知られる脅威アクターと関連付けられており、ダークウェブ上で提供されるモバイル向けマルウェア・アズ・ア・サービス(MaaS)の危険性が高まっていることを浮き彫りにしています。

増大する脅威:攻撃の規模と範囲

AntiDotは273件のキャンペーンに関与し、3,775台以上のAndroidデバイスが感染しました。これらのキャンペーンは高度に標的を絞っており、多くの場合、言語や地理的な場所に基づいており、標的を選別したプロファイリングが行われていることが示唆されています。このマルウェアは主に、悪意のある広告ネットワークやフィッシングキャンペーン(偽のGoogle Playアップデートを含む)を通じて拡散されています。

モバイル向けMaaS:LARVA-398のビジネスモデル

「3 in 1」ソリューションとして販売されている AntiDot は、地下フォーラムで販売されており、脅威アクターに次のような強力なツールキットを提供しています。

  • アクセシビリティの悪用による画面録画
  • SMS傍受
  • サードパーティアプリからのデータ抽出

この商業化により、より幅広いサイバー犯罪者がアクセスできるようになり、高度なモバイル攻撃を仕掛けるハードルが低くなりました。

高度な機能: AntiDot でできること

AntiDotは、攻撃者が感染デバイスを持続的かつステルス的に制御することを可能にする、幅広い悪意ある機能を備えています。正規アプリを巧妙に模倣した偽のログイン画面を表示することでオーバーレイ攻撃を実行し、ユーザーの認証情報を窃取します。また、キー入力を記録し、画面コンテンツを監視して機密情報を取得します。AndroidのMediaProjection APIを利用することで、WebSocket接続を介してコマンド&コントロールサーバーとのリアルタイム通信を維持しながら、デバイスをリモート制御することが可能です。

AntiDotは、アクセシビリティサービスを悪用してデバイスから広範なデータを収集し、自身をデフォルトのSMSアプリに設定して送受信メッセージを傍受します。さらに、通話をブロックまたはリダイレクトすることで通話を操作し、通知を抑制してユーザーに不審なアクティビティを知らせないようにします。これらの機能を組み合わせることで、攻撃者は被害者のデバイスに包括的にアクセスし、制御することが可能になります。

デリバリーチェーン:3段階の感染プロセス

マルウェアは多段階形式で配信されます。

初期 APK ファイル- フィッシングや偽のアップデートの一部として配布されます。

動的クラスの読み込み- APK に存在しない難読化されたクラスはインストール中に読み込まれます。

DEX ファイルの実行– アクセス権限を取得した後、マルウェアはボットネット コードを含む悪意のある DEX ファイルを解凍して読み込みます。

AntiDot は商用パッカーと暗号化されたペイロードを使用することで、検出とリバース エンジニアリングを大幅に妨げます。

偽のインターフェースと資格情報の盗難

AntiDotの主要な戦術の一つは、ユーザーが暗号通貨や金融アプリを開いた際に偽のログイン画面を表示することです。これらの画面はコマンドアンドコントロール(C2)サーバーからリアルタイムで取得され、攻撃者はユーザーに疑念を抱かせることなく機密性の高い認証情報を入手することができます。

AntiDotのC2インフラストラクチャ:効率性を重視した構築

マルウェアのリモートコントロールパネルはMeteorJS上に構築されており、感染したデバイスとのシームレスなリアルタイム操作を可能にします。パネルには以下の6つのセクションがあります。

  • ボット: 感染したデバイスとそのメタデータを表示します
  • 挿入: オーバーレイ攻撃とテンプレートの対象となるアプリをリストします
  • 分析: インストールされたアプリを追跡して傾向と将来のターゲットを特定します
  • 設定: 注入パラメータとマルウェアの動作を制御します
  • ゲート: ボット通信エンドポイントを管理する
  • ヘルプ: マルウェア運営者向けのユーザーサポートを提供します

局所的かつ持続的:アンチドットの真の危険性

AntiDotは単なるAndroid向けトロイの木馬ではありません。スケーラブルで回避性の高いMaaSプラットフォームであり、局所的な標的を狙った金融詐欺に特化しています。WebViewインジェクション、オーバーレイベースの認証情報窃取、リアルタイムC2通信といった手法を用いて、ユーザーのプライバシーとモバイルセキュリティに深刻な脅威をもたらします。

研究者らは、AntiDot の採用拡大と戦術の進化により、このようなますますステルス性の高い脅威に対抗するためには、Android のセキュリティ対策の強化、定期的な更新、ユーザーの意識向上が緊急に必要であることが浮き彫りになっていると警告している。

トレンド

PARKER Ransomware

ランサムウェア
PARKERランサムウェアは、被害者のデータを標的にして、使用できない状態にします。ドキュメント、PDF、写真、写真、アーカイブ、データベースなど、すべてのファイルタイプが影響を受ける可能性があります。十分に強力な暗号化アルゴリズムにより、影響を受けるユーザーが攻撃者の支援なしにファイルを復元するのを防ぐことができます。 その操作の一部として、脅威は元の名前に「.PARKER」を追加すること...

ADMON ランサムウェア

ランサムウェア
ADMON ランサムウェアは、マルウェア研究者が提出したサンプルの分析中に発見されました。この特定のランサムウェアの亜種は、ファイルを暗号化し、拡張子「.ADMON」を追加してファイル名を変更することで動作します。さらに、ADMON ランサムウェアの被害者には、「RESTORE_FILES_INFO.txt」というタイトルの身代金メモが提示されます。ファイル名に対する ADMON の影響を説...

Mytopword.com

不正なウェブサイト, ブラウザハイジャッカー
Mytopword.com は、一般的なブラウザー ベースの戦術を広める不正な Web サイトです。ページにアクセスしたユーザーには、表示された [許可] ボタンを押すよう促す誤解を招くメッセージやクリックベイト メッセージが表示される可能性があります。この動作は、正当なプッシュ通知ブラウザー機能を悪用しようとするすべての信頼できないページで一貫しています。 メッセージの正確なテキストは、ユ...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
60,128
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
48,487
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Discord 灰色の画面で立ち往生

問題
46,557
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
読み込んでいます...