Kada server generiše ID zaraženog uređaja, trojanac „Antidot“ šalje statistiku bota serveru i prima komande

 

Cyble Research and Intelligence Labs (CRIL) je otkrio novi bankarski trojanac koji su nazvali „Antidot“. Istraživački tim iz CRIL-a je u svom izvještaju, koji je objavljen 16. maja, opisao Antidot kao sofisticirani Android malver sa nizom funkcija, uključujući napade preklapanja i keylogging.

Pročitajte još: Najčešće internet prevare i kako da se zaštitite

Antidot se predstavlja kao aplikacija za ažuriranje Google Play, prikazujući lažnu stranicu za ažuriranje Google Play nakon instalacije. Ova lažna stranica za ažuriranje napravljena je na različitim jezicima, uključujući njemački, francuski, španski, ruski, portugalski, rumunski i engleski. Ovo ukazuje da malver cilja korisnike Androida u različitim regionima.

Na lažnoj stranici za ažuriranje, taster „Continue“ preusmjerava korisnika na podešavanja Android uređaja, na opciju Accessibility. Kada korisnik odobri Accessibility, malver šalje prvu „ping poruku“ serveru zajedno sa kodiranim podacima, uključujući naziv aplikacije malvera, verziju SDK, model telefona, informaciju o proizvođaču telefona, jezik i pozivni broj zemlje i listu instaliranih aplikacija.

U pozadini, malver pokreće dvosmjernu komunikaciju u realnom vremenu sa serverom za komandu i kontrolu (C2). Malver održava ovu komunikaciju putem „ping“ i „pong“ poruka.

Kada server generiše ID zaraženog uređaja, bankarski Android trojanac Antidot šalje statistiku bota serveru i prima komande. Malver ima ukupno 35 komandi, uključujući prikupljanje SMS poruka, pokretanje USSD zahtjeva, pa čak i daljinsko upravljanje funkcijama uređaja kao što su kamera i zaključavanje ekrana.

 

Savjeti korisnicima

 

Kako bi izbjegli infekciju uređaja ovim i sličnim malverima, istraživači CRIL-a savjetuju korisnicima da aplikacije preuzimaju i instaliraju samo iz zvaničnih prodavnica aplikacija kao što su Google Play (Android telefoni) ili Apple App Store (iOS telefoni).

Koristite pouzdani antivirus, jake lozinke i višefaktorsku autentifikaciju (MFA) gdje god je to moguće. Budite oprezni prilikom otvaranja linkova primljenih putem SMS-a ili emailova. Omogućite Google Play Protect na Android uređajima.

Budite oprezni sa dozvolama koje dajete aplikacijama i redovno ažurirajte operativni sistem i aplikacije instalirane na uređaju.