瑞士网络安全公司 PRODAFT 公布了有关涉及名为 AntiDot 的 Android 木马的广泛恶意活动的详细调查结果。据专家称，该恶意软件已经在 3,775 次单独的攻击中感染了超过 273 台设备，并积极部署在旨在窃取个人和财务信息的计划中。

开发和传播 AntiDot 的背后是名为 LARVA-398 的威胁组织，主要由经济动机驱动。该恶意软件通过地下在线论坛通过“恶意软件即服务”（MaaS） 模型进行分发，并用于针对特定国家/地区和语言社区的攻击。传播通过恶意广告网络和高度定制的网络钓鱼活动进行。

AntiDot 作为一种多功能监控工具销售。它可以记录设备的屏幕、拦截 SMS 消息并从第三方应用程序中提取数据。该特洛伊木马基于使用商业加壳程序进行混淆处理的 Java 程序，这使得检测和逆向工程变得复杂。恶意负载分三个阶段解压缩，从目标设备上安装的 APK 文件开始。

AntiDot 的一个显着特点是它滥用 Android MediaProjection API 和辅助功能服务，这使攻击者能够实时监控屏幕、执行键盘记录、远程控制设备和观察用户行为。在安装过程中，恶意软件会请求可访问性权限并部署包含僵尸网络核心逻辑的恶意 DEX 文件。

当受害者启动加密货币或与支付相关的应用程序时，AntiDot 会用从其命令和控制 （C2） 服务器获取的虚假登录页面替换合法屏幕。这种覆盖技术用于窃取登录凭据。此外，该木马将自己设置为默认 SMS 应用程序，拦截入站和出站消息、跟踪呼叫并根据预定义规则重定向或阻止它们。

此外，AntiDot 会监控系统通知，删除或隐藏可能引起怀疑的警报。所有受感染的设备都通过基于 MeteorJS 框架开发的 C2 面板进行管理。该面板具有用于分析已安装的应用程序、配置攻击参数、查看受感染的设备、管理网络连接的模块，甚至还包括一个内置的帮助部分。

该平台表现出高度的适应性，并且显然是通过对移动设备的持续控制来进行金融剥削而设计的，尤其是在具有本地化语言偏好的地区。值得注意的是，AntiDot 利用 WebView 注入并模仿合法银行和支付应用程序的界面，使其对用户的隐私特别危险。