Nuevo troyano bancario para Android Antidot simula ser una actualización de Google Play
Un nuevo troyano bancario «Antidot», se está propagando en dispositivos Android disfrazado de una actualización de Google Play. Utiliza ataques de superposición y keylogging para robar datos financieros sensibles de los usuarios.
Antidot muestra páginas falsas de actualización de Google Play en varios idiomas, como alemán, francés, español, ruso, portugués, rumano e inglés, lo que indica posibles objetivos en estos países. Utiliza ataques de superposición y técnicas de keylogging para recolectar eficientemente información sensible, como credenciales de inicio de sesión. Los ataques de superposición crean interfaces falsas que imitan aplicaciones legítimas, engañando a los usuarios para que ingresen su información, mientras que el keylogging captura cada pulsación de tecla realizada por el usuario.
El malware Antidot utiliza un servicio de «Accesibilidad» para funcionar. Una vez instalado y concedido el permiso por la víctima, establece comunicación con su servidor de comando y control (C2) para recibir órdenes. El servidor registra el dispositivo con una ID de bot para una comunicación continua», explica Rupali Parate, investigador de Android para Cyble.
El malware Antidot es notable por su capacidad para identificar y atacar aplicaciones específicas en dispositivos infectados. Una vez que selecciona un objetivo, el servidor C2 envía una URL de phishing que se superpone a la aplicación legítima, capturando las credenciales de los usuarios desprevenidos. Utiliza WebSocket para una comunicación en tiempo real, permitiendo a los atacantes controlar remotamente funciones del dispositivo y ejecutar diversos comandos, como la recolección de mensajes SMS, solicitudes USSD, activación de la cámara y bloqueo de pantalla. Además, emplea VNC a través de MediaProjection para el control remoto, lo que amplía aún más su peligro potencial.