威胁情报提供商 Cycble 的研究部门 Cyble 研究与情报实验室 (CRIL) 检测到了一种针对 Android 设备的新银行木马。

在 5 月 16 日发布的一份报告中，CRIL 描述了复杂的恶意软件，其中包含一系列恶意功能，包括覆盖攻击、键盘记录和混淆功能。

研究人员根据其源代码中的一个字符串将该木马称为“Antidot”。

Antidot 木马是什么样子
Antidot 伪装成 Google Play 更新应用程序，在安装时显示伪造的 Google Play 更新页面。

Cyble 观察到，这个虚假的更新页面是用多种语言制作的，包括德语、法语、西班牙语、俄语、葡萄牙语、罗马尼亚语和英语。这表明该恶意软件针对的是不同地区的 Android 用户。

Antidot 的虚假更新页面以不同语言制作。来源：Cyble
在虚假更新页面上，“继续”按钮会将用户重定向到 Android 设备的辅助功能设置。

一旦用户授予服务的可访问性，恶意软件就会向服务器发送第一条“ping 消息”以及 Base64 编码数据，其中包含以下内容：

• 恶意软件应用程序名称

• 软件开发套件（SDK）版本

• 手机型号

• 手机制造商

• 语言和国家代码

• 已安装的应用程序包列表

解码 Antidot 的功能

在后台，恶意软件启动与其命令和控制 (C2) 服务器“hxxp://46[.]228.205.159:5055/”的通信。

除了HTTP连接之外，木马还使用socket.io库建立WebSocket通信，从而实现服务器和客户端之间的实时、双向通信。

恶意软件通过“ping”和“pong”消息维持服务器与其客户端之间的通信。

一旦服务器生成了僵尸程序 ID，Antidot 银行木马就会向服务器发送僵尸程序统计信息并接收命令。该恶意软件总共执行了 35 个命令，包括收集 SMS 消息、发起 USSD 请求，甚至远程控制相机和屏幕锁定等设备功能。

该恶意软件包含多种功能，使其能够部署一系列恶意活动，包括：

• 虚拟网络计算 (VNC)

• 键盘记录

• 叠加攻击

• 屏幕录制

• 呼叫转移

• 收集联系人和短信

• 执行 USSD 请求

• 锁定和解锁设备

Cyble 研究人员写道：“Antidot 对字符串混淆、加密和虚假更新页面的战略部署的利用表明了一种有针对性的方法，旨在逃避检测并最大限度地扩大其在不同语言区域的影响力。”

针对 Android 银行木马的 Cyble 缓解建议
减轻这种威胁的一些建议包括：

• 仅安装来自官方应用商店的软件，例如 Google Play Store（Android 手机）或 Apple App Store（iOS 手机）

• 使用知名的防病毒和互联网安全软件包

• 尽可能使用强密码并强制执行多重身份验证 (MFA)

• 打开通过短信或发送到您的移动设备的电子邮件收到的链接时要小心

• 始终在 Android 设备上启用 Google Play Protect

• 警惕授予应用程序的任何权限

• 使设备、操作系统和应用程序保持最新