Antidot: nuova minaccia per Android camuffata da finto aggiornamento

Il mondo mobile è nuovamente scosso dall’affermazione di una nuova minaccia. Un nuovo attore malevolo fa capolino sulla scena e sfrutta una tecnica di camuffamento tanto subdola, quanto incredibilmente efficace. Il suo nome? Antidot.
Di cosa si tratta? Scopriamolo insieme.

Cos’è Antidot?
Come funziona Antidot?
Come difendersi da Antidot?

Cos’è Antidot?

Emerso grazie alle analisi del team di cybersecurity di Cyble, Antidot è un malware bancario per Android che segue le orme di altri illustri esponenti apparsi in precedenza. Ciò che colpisce, però, è la sua strategia di attacco, in quanto si presenta come un aggiornamento proveniente direttamente dal Google Play Store.

Il suo obiettivo primario è sempre lo stesso: appropriarsi delle credenziali di accesso bancarie dell’utente che cade vittima del suo trucchetto. Ciò avviene con la sempreverde e pluricollaudata tecnica di keylogging, che negli ultimi tempi ha mietuto molte vittime nell’ambito mobile.

La cosa interessante è che Antidot fa di tutto per spacciarsi come un aggiornamento reale di una vera applicazione certificata da Google, poiché le sue pagine contenenti il changelog e il versioning sono tradotte in più lingue oltre all’inglese, tra cui figurano:

Tedesco
Francese
Spagnolo
Russo
Portoghese
Rumeno

Tale selezione linguistica, indica una grande diffusione in queste nazioni, con la maggior parte dei suoi obiettivi localizzati proprio in Europa.

Stando alle dichiarazioni di Salvatore Lombardo, software engineer di Clusit, gli attacchi rivolti ad Android hanno subito un’impennata notevole negli ultimi anni, a causa della grandissima diffusione di cui gode il sistema operativo. Si è infatti stimato che Google, alla data di pubblicazione di questo articolo, controlla il 71% del mercato dei sistemi operativi mobile.

Come funziona Antidot?

Appartenendo alla categoria di malware bancari, Antidot adotta la tecnica di keylogging come arma principale, a cui si unisce l’attacco di tipo overlay.
In tal modo è in grado di collezionare i dati sensibili presenti sullo smartphone su cui si installa, con un occhio di riguardo verso le credenziali bancarie della vittima. Secondo quanto affermato da Rupali Parate, ricercatore Android del team di Cyble, Antidot fa leva sui servizi di accessibilità del sistema operativo, per portare a termine il suo compito.

Infatti, una volta che questo si è installato sul dispositivo della vittima, richiede l’accesso ai servizi di accessibilità, giustificando che tale misura è necessaria per permettere il corretto funzionamento dell’applicazione a cui si è sostituito. Nel momento in cui l’utente gli garantisce l’accesso completo, questo scala rapidamente la gerarchia dei permessi, divenendo il padrone assoluto del dispositivo.

In questo modo, Antidot è in grado di collegarsi al server C2 (command-and-control) gestito dai cybercriminali e ricevere comandi specifici direttamente da questi ultimi. Poiché il dispositivo è sotto il loro controllo, questi possono agire indisturbati per:

Registrare lo schermo e mettere a segno un attacco di tipo overlay.
Inoltrare eventuali telefonate in ingresso.
Collezionare dati sensibili presenti in contatti, chat social e SMS.
Gestire in piena autonomia le richieste USSD.

Queste ultime sono l’elemento più importante di tutto l’assetto, in quanto si tratta di sequenze numeriche che permettono l’accesso diretto con lo smartphone ai servizi messi a disposizione degli utenti da parte degli operatori mobile.

Per capire meglio di cosa si tratta, basti pensare che i codici per l’attivazione di funzioni supplementari sulla propria tariffa, o per conoscere il credito residuo, sono tutti basati su richieste USSD (Unstructured Supplementary Service Data). Quando queste finiscono sotto il controllo di un attore malevolo, questi può accedere in maniera indisturbata a ulteriori dati sensibili, favorendo in tal modo la proliferazione di nuove tecniche di ingegneria sociale contro la vittima.

Tuttavia, Antidot è anche più subdolo di così, in quanto colleziona una lista di applicazioni presenti sullo smartphone della vittima, che poi invia ai cybercriminali. Questi la sfruttano a loro vantaggio, identificando dapprima quelle rientranti nella loro lista di bersagli, e subito dopo inviano tramite il server l’overlay che si spaccia per la vera pagina di login di un’applicazione bancaria, o di un ente di credito usato dalla vittima.

Ciò avviene mediante l’iniezione diretta di un URL tramite il server C2, ovvero una pagina HTML di phishing realizzata a regola d’arte.
Nel momento in cui la vittima inserisce le sue credenziali qui dentro, il gioco è fatto. Il modulo di keylogging di Antidot si attiva e colleziona gli input dell’utente, per poi trasmetterli ai cybercriminali.

Parate ha inoltre confermato che Antidot è capace di esercitare una certa persistenza nel dispositivo infettato, poiché integrante un modulo VNC (Virtual Network Computing) e uno basato su MediaDisplays. Questi permettono ai cybercriminali di ottenere il pieno controllo remoto del dispositivo e di eseguire così frodi a catena, passando completamente inosservati.

Come difendersi da Antidot?

Alla luce di quanto discusso nei paragrafi precedenti, sono di seguito riportati alcuni consigli per proteggersi da applicazioni malevoli e possibili furti di credenziali.

Non affidarsi ad applicazioni di pulizia automatizzata esterni

I moderni smartphone e dispositivi Android escono di fabbrica con già installata una soluzione per la pulizia di file temporanei, cookies e junk di applicazioni. Questi solitamente permettono anche un’eliminazione definitiva di determinati file selezionati direttamente dall’utente.

Evitare antivirus gratuiti

Come al solito le soluzioni gratuite lasciano il tempo che trovano, in quanto incapaci di garantire una protezione costante ed efficace. A maggior ragione se si pensa che, a partire da Android 11, ogni produttore di smartphone e tablet integra al suo interno un centro di sicurezza ad hoc con un antivirus che viene costantemente aggiornato e monitorato. La soluzione ideale è comunque quella di dotarsi di un antivirus di tipo premium con abbonamento annuale e che integri al suo interno moduli anti-phishing, monitoraggio rete e controllo approfondito delle applicazioni.

Mai installare files APK acquisiti da fonti dubbie

Si tratta di elementi non controllati direttamente dalla casa madre di Android, ma di pacchetti contenenti al loro interno del codice non firmato e quindi potenzialmente dannoso per il proprio dispositivo. Ad esempio, sono da evitare in toto i marketplace esterni come Aptoide, Uptodown, o ApkPure, che più di una volta si sono dimostrati autentiche fucine di malware.

Restare costantemente aggiornati

Le liste di applicazioni segnalate come malevoli e pericolose vengono aggiornate su base giornaliera direttamente dai principali produttori di antivirus ed esperti del settore.

Affidarsi sempre alla reputazione del produttore

Controllare recensioni e media di punteggio che ciascuna sua applicazione riceve sia sul Play Store, che sui siti specializzati, è un ottimo metodo per evitare di scaricare qualcosa di indesiderato sul proprio dispositivo.

Effettuare una pulizia regolare

Almeno una volta a settimana è buona prassi disinstallare le applicazioni non utilizzate e svuotare la cache dei propri browser.

Fare uso di Google Play Protect

L’attivazione della misura di sicurezza aggiuntiva creata da Google stessa, aggiunge un ulteriore strato di protezione al proprio dispositivo, favorendo così l’individuazione pregressa di aggiornamenti non in linea con quanto dichiarato dal produttore dell’applicazione in questione.

In conclusione

L’ascesa di questa nuova minaccia in ambito mobile, dimostra che le tecniche di offuscamento da parte dei malware stanno diventando sempre più sofisticate. Con una comunicazione in tempo reale tra vittima e i server C2, si ha la piena dimostrazione di come gli attacchi multistrato siano non solo una realtà consolidata, ma anche una virata decisa verso tecniche più interattive e meno statiche rispetto al passato.

Tale evoluzione sottolinea ulteriormente come noi utenti non solo dovremmo richiedere un intervento maggiore anche da parte di chi crea i sistemi operativi e implementa le misure di sicurezza mai abbassare la guardia, ma che dovremmo maggiormente impegnarci a vigilare attentamente su tutto ciò che facciamo in rete. La reale differenza tra un attacco andato a segno e uno evitato, dipende principalmente dalla nostra consapevolezza all’uso che facciamo dei nostri dispositivi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.