Новости

Antidot: новый банковский троян притворяется обновлениями Google Play

После установки и предоставления необходимых разрешений, троян отправляет первый на удалённый сервер пинг-сообщение с рядом данных, закодированных в Base64. Эти данные включают:
• название вредоносного приложения;
• версию Software Development Kit (SDK);
• производителя и модель смартфона;
• язык и код страны;
• список установленных приложений на устройстве.

В фоновом режиме троян устанавливает связь с командным сервером через HTTP и использует библиотеку «socket.io» для двусторонней коммуникации в реальном времени. Это позволяет поддерживать связь между сервером и клиентом с помощью сообщений «ping» и «pong».

После генерации бот-идентификатора сервером, Antidot отправляет статистику на сервер и получает команды. Всего троян поддерживает 35 команд, среди которых, например:
• виртуальные сетевые вычисления (VNC);
• кейлоггинг;
• атаки наложения;
• запись экрана;
• переадресация звонков;
• сбор контактов и SMS;
• выполнение USSD-запросов;
• блокировка и разблокировка устройства.