Los investigadores de ciberseguridad han expuesto el funcionamiento interno de un malware Android llamado antídoto que ha comprometido más de 3.775 dispositivos como parte de 273 campañas únicas.
«Operado por el actor de amenazas motivado financieramente Larva-398, Antidot se vende activamente como un malware como servicio (MAAS) en foros subterráneos y se ha vinculado a una amplia gama de campañas móviles», dijo Profaft en un informe compartido con The Hacker News.
Antidot se anuncia como una solución de «tres en uno» con capacidades para registrar la pantalla del dispositivo abusando de los servicios de accesibilidad de Android, los mensajes SMS de intercepción y la extracción de datos confidenciales de aplicaciones de terceros.
Se sospecha que el Botnet Android se entrega a través de redes publicitarias maliciosas o mediante campañas de phishing altamente personalizadas basadas en una actividad que indica la orientación selectiva de las víctimas basadas en el lenguaje y la ubicación geográfica.
Antidot se documentó públicamente por primera vez en mayo de 2024 después de que se vio distribuido como actualizaciones de Google Play para lograr sus objetivos de robo de información.
Al igual que otros troyanos de Android, presenta una amplia gama de capacidades para realizar ataques superpuestos, pulsaciones de registro y controlar de forma remota dispositivos infectados utilizando la API MediaProyección de Android. También establece una comunicación WebSocket para facilitar la comunicación bidireccional en tiempo real entre el dispositivo infectado y un servidor externo.
En diciembre de 2024, Zimperium reveló detalles de una campaña de phishing móvil que distribuyó una versión actualizada de antidot Banker Applited Applite utilizando señuelos con temas de oferta de trabajo.
Los últimos hallazgos de la compañía de seguridad cibernética suiza muestran que hay al menos 11 servidores activos de comando y control (C2) en funcionamiento que supervisan no menos de 3.775 dispositivos infectados en 273 campañas distintas.
Un malware basado en Java en su núcleo, Antidot está en gran medida ofuscado utilizando un empacador comercial para evitar los esfuerzos de detección y análisis. El malware, según ProDaft, se entrega como parte de un proceso de tres etapas que comienza con un archivo APK.
«Una inspección del archivo AndroidManifest revela que muchos nombres de clases no aparecen en el APK original», dijo la compañía. «Estas clases faltantes están cargadas dinámicamente por el empacador durante la instalación e incluyen un código malicioso extraído de un archivo encriptado. Todo el mecanismo está diseñado intencionalmente para evitar la detección por herramientas antivirus».
Una vez lanzado, sirve a una barra de actualización falsa y le pide a la víctima que le otorgue permisos de accesibilidad, después de lo cual desempaqueta y carga un archivo DEX que incorpora las funciones de botnet.
Una característica central de Antidot es su capacidad para monitorear las aplicaciones recién lanzadas y servir y servir una pantalla de inicio de sesión falsa del servidor C2 cuando la víctima abre una aplicación relacionada con la criptomonedas o el pago que los operadores están interesados.
El malware también abusa de los servicios de accesibilidad para recopilar información extensa sobre el contenido de las pantallas activas y se establece como la aplicación SMS predeterminada para capturar textos entrantes y salientes. Además, puede monitorear llamadas telefónicas, bloquear llamadas de números específicos o redirigirlas, abriendo efectivamente más vías para el fraude.
Otra característica importante es que puede realizar un seguimiento de las notificaciones en tiempo real que se muestran en la barra de estado del dispositivo y toma medidas para descartarlas o posponerlas en un intento por suprimir alertas y evitar alertar al usuario de actividades sospechosas.
ProDaft dijo que el panel C2 que alimenta las funciones de control remoto está construida con Meteorjs, un marco JavaScript de código abierto que permite la comunicación en tiempo real. El panel tiene seis pestañas diferentes –
- Bots, que muestra una lista de todos los dispositivos comprometidos y sus detalles
- Inyectos, que muestra una lista de todas las aplicaciones de destino para la inyección de superposición y ver la plantilla de superposición para cada inyección
- Analytic, que muestra una lista de aplicaciones instaladas en dispositivos de víctimas y probablemente se utiliza para identificar aplicaciones nuevas y populares para focalización futura
- Configuración, que contiene las opciones de configuración básicas para el panel, incluida la actualización de los inyecciones
- Puertas, que se utiliza para administrar los puntos finales de infraestructura a los que los bots se conectan
- Ayuda, que ofrece recursos de soporte para usar el malware
«Antidot representa una plataforma MAAS escalable y evasiva diseñada para una ganancia financiera a través del control persistente de dispositivos móviles, especialmente en regiones localizadas y específicas del lenguaje», dijo la compañía. «El malware también emplea los ataques de inyección y superposición de WebView para robar credenciales, por lo que es una seria amenaza para la privacidad del usuario y la seguridad del dispositivo».
El padrino regresa
El desarrollo como Zimperium Zlabs dijo que descubrió una «evolución sofisticada» del troyano de banca Android Android que utiliza la virtualización en el dispositivo para secuestrar aplicaciones legítimas de banca móvil y criptomonedas y llevar a cabo fraude en tiempo real.
«El núcleo de esta técnica novedosa es la capacidad del malware para crear un entorno virtual completo y aislado en el dispositivo de la víctima. En lugar de simplemente imitar una pantalla de inicio de sesión, el malware instala una aplicación maliciosa de» host «que contiene un marco de virtualización», dijeron los investigadores Fernando Ortega y Vishnu Pratapagiri.
«Este host luego descarga y ejecuta una copia de la aplicación de banca o criptomonedas dirigida real dentro de su Sandbox controlado».
Si la víctima lanza la aplicación, se redirigen a la instancia virtual, desde donde los actores de amenazas monitorean sus actividades. Además, la última versión de Godfather empaca en funciones para evitar herramientas de análisis estático haciendo uso de la manipulación con zip y llenando el archivo AndroidManifest con permisos irrelevantes.
Al igual que en el caso del antídoto, el padrino se basa en los servicios de accesibilidad para llevar a cabo sus actividades de recopilación de información y controlar los dispositivos comprometidos. Si bien Google ha impuesto las protecciones de seguridad que impiden que las aplicaciones laterales permitan que el servicio de accesibilidad inicie Android 13, un enfoque de instalación basado en la sesión puede moverse por esta protección.
El método basado en la sesión es utilizado por Android App Stores para manejar la instalación de aplicaciones, al igual que las aplicaciones de mensajes de texto, los clientes de correo y los navegadores cuando se presenta con archivos APK.
Central para el funcionamiento del malware es su característica de virtualización. En la primera etapa, recopila información sobre la lista de aplicaciones y verificaciones instaladas si incluye alguna de las aplicaciones predeterminadas que está configurada para apuntar.
Si se encuentran coincidencias, extrae información relevante de esas aplicaciones y luego procede a instalar una copia de esas aplicaciones en un entorno virtual dentro de la aplicación Dropper. Por lo tanto, cuando la víctima intenta lanzar la aplicación bancaria real en su dispositivo, el padrino intercepta la acción y abre la instancia virtualizada.
Vale la pena señalar que las características de virtualización similares se marcaron previamente en otro malware de Android con nombre en código FJordPhantom, que fue documentado por Promon en diciembre de 2023. El método representa un cambio de paradigma en las capacidades de amenazas móviles que van más allá de la táctica de superposición tradicional para robar credenciales y otros datos sensibles.
«Si bien esta campaña de Padrino lanza una amplia red, dirigida a casi 500 aplicaciones a nivel mundial, nuestro análisis revela que este ataque de virtualización altamente sofisticado se centra actualmente en una docena de instituciones financieras turcas», dijo la compañía.
«Una capacidad particularmente alarmante descubierta en el malware del padrino es su capacidad para robar credenciales de bloqueo de dispositivos, independientemente de si la víctima usa un patrón de desbloqueo, un PIN o una contraseña. Esto plantea una amenaza significativa para la privacidad del usuario y la seguridad del dispositivo».
La compañía de seguridad móvil dijo que el abuso de los servicios de accesibilidad es una de las muchas formas en que las aplicaciones maliciosas pueden lograr la escalada de privilegios en Android, lo que les permite obtener permisos que exceden sus requisitos funcionales. Estos incluyen el uso indebido de los permisos del fabricante de equipos originales (OEM) y las vulnerabilidades de seguridad en aplicaciones preinstaladas que los usuarios no pueden eliminar.
«Prevenir la escalada de privilegios y la obtención de ecosistemas de Android contra aplicaciones maliciosas o sobre privilegiadas requiere más que la conciencia del usuario o los parches reactivos: exige mecanismos de defensa proactivos, escalables e inteligentes», dijo el investigador de seguridad Ziv Zeira.
Supercard X malware llega a Rusia
Los hallazgos también siguen los primeros intentos registrados para atacar a los usuarios rusos con SuperCard X, un recientemente emergido de malware Android que puede realizar ataques de retransmisión de comunicación de campo cercano (NFC) para transacciones fraudulentas.
Según la compañía rusa de ciberseguridad F6, SuperCard X es una modificación maliciosa de una herramienta legítima llamada NFCGate que puede capturar o modificar el tráfico de NFC. El objetivo final del malware no solo es recibir el tráfico NFC de la víctima, sino también los datos de la tarjeta bancaria leídos enviando comandos a su chip EMV.
«Esta aplicación permite a los atacantes robar datos de tarjetas bancarias interceptando el tráfico de NFC por el robo posterior de dinero de las cuentas bancarias de los usuarios», dijo el investigador de F6 Alexander Koposov en un informe publicado esta semana.
Los ataques que aprovechan la Supercard X fueron vistos por primera vez dirigidos a los usuarios de Android en Italia a principios de este año, armando la tecnología NFC para transmitir datos de las cartas físicas de las víctimas a dispositivos controlados por el atacante, desde donde se usaron para llevar a cabo retiros de cajeros automáticos fraudulentos o autorizar pagos de punto de venta (POS).
La plataforma MAAS de habla china, anunciada en Telegram como capaz de dirigirse a clientes de los principales bancos en los Estados Unidos, Australia y Europa, comparte superposiciones sustanciales a nivel de código con Ngate, un malware de Android que también se ha encontrado con el arma de NFCGate con fines maliciosos en la República Checa.
Todas estas campañas están unidas por el hecho de que dependen de técnicas de amordazamiento para convencer a una posible víctima de la necesidad de instalar un archivo APK en el dispositivo bajo la apariencia de un programa útil.
Aplicaciones maliciosas vistas en tiendas de aplicaciones
Si bien todas las cepas de malware antes mencionadas requieren que las víctimas resuelvan las aplicaciones en sus dispositivos, una nueva investigación también ha desenterrado aplicaciones maliciosas en la tienda oficial de Google Play y la tienda de aplicaciones de Apple con capacidades para cosechar información personal y robar frases mnemónicas asociadas con billeteras de criptogrimidas con el objetivo de agotar sus activos.
Se estima que una de las aplicaciones en cuestión, Rapiplata, se descargó alrededor de 150,000 veces en dispositivos Android e iOS, lo que subraya la gravedad de la amenaza. La aplicación es un tipo de malware conocido como Spyloan, que atrae a los usuarios al afirmar que ofrece préstamos a tasas de baja interés, solo para ser sometido a extorsión, chantaje y robo de datos.
«Rapiplata se dirige principalmente a los usuarios colombianos al prometer préstamos rápidos», dijo Check Point. «Más allá de sus prácticas de préstamos depredadores, la aplicación se involucra en un robo de datos extenso. La aplicación tenía un amplio acceso a datos confidenciales del usuario, incluidos mensajes SMS, registros de llamadas, eventos calendario y aplicaciones instaladas, incluso llegando a cargar estos datos en sus servidores».
Las aplicaciones de phishing de billetera de criptomonedas, por otro lado, se han distribuido a través de cuentas de desarrolladores comprometidas y sirven una página de phishing a través de WebView para obtener las frases de semillas.
Aunque estas aplicaciones se han eliminado desde las tiendas de aplicaciones respectivas, el peligro es que las aplicaciones de Android podrían estar disponibles para descargar desde sitios web de terceros. Se recomienda a los usuarios que tengan precaución al descargar aplicaciones financieras o relacionadas con los préstamos.