Банковский троянец для Android Antidot маскируется под приложение Google Play Update. Он стратегически нацелен на пользователей Android в различных регионах и использует методы VNC и Overlay для сбора учетных данных.
- Новый банковский троянец для Android под названием Antidot, маскирующийся под приложение для обновления Google Play, отображает поддельные страницы обновлений Google Play на нескольких языках, что указывает на широкий круг целей.
- Antidot использует целый ряд вредоносных функций, включая оверлейные атаки и кейлоггинг, что позволяет ему компрометировать устройства и собирать конфиденциальную информацию.
- Antidot поддерживает связь со своим командно-контрольным (C&C) сервером через WebSocket, обеспечивая двунаправленное взаимодействие в режиме реального времени для выполнения команд.
- Вредоносная программа выполняет широкий спектр команд, полученных от C&C-сервера, включая сбор SMS-сообщений, инициирование USSD-запросов и даже удаленное управление такими функциями устройства, как камера и блокировка экрана.
- Для удаленного управления зараженными устройствами Antidot реализовал VNC с использованием MediaProjection.
Indicators of Compromise
URLs
- http://188.241.240.75:5055
- http://193.181.23.70:5055
- http://213.255.246.209:5055
- http://46.228.205.159:5055/
- https://wgona.click/
MD5
- 0b6f0790c32a16e413c89bf65018ec6d
- 588d01860865256c378715ad728757cf
- ac79187fd3024fb9cb5d1a872461503c
- b877636c060e5fb47f467e557acdc9ac
SHA1
- 13479bb7364b710b2bb4a55ded4877d8232c0d90
- 1c1d2fc881ea0565a372f71baf26454756bd3243
- bb2a1b5909f31f1c4d694899d502b1d9f95c66c2
- c48240ce763e07b690e4fe79d6dfe69eeeebf8bd
SHA256
- 654cfe773e92261a7e2c74f4b16bd36be9286a95840b49139cf18c8d4333345b
- 7a0664c3a9914531c84d875669f6249b433d09155b1c06ad3654c210a1798ee0
- 9f8a49432e76b9c69d33ea228cc44254bc0a58bfa15eb0c51a302c59db81caa3
- a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116