El nuevo troyano bancario «Antidot» se está propagando en dispositivos Android, disfrazado como una actualización de Google Play. Utiliza ataques de superposición y keylogging para robar datos financieros sensibles de los usuarios. Este malware muestra páginas falsas de actualización de Google Play en varios idiomas, lo que indica sus objetivos en múltiples países.
Antidot emplea el servicio de «Accesibilidad» para operar. Una vez instalado y con permisos concedidos, se comunica con un servidor de comando y control (C2) para recibir órdenes. Este servidor registra el dispositivo con una ID de bot para mantener la comunicación continua. El malware envía una lista de aplicaciones instaladas al servidor, que luego identifica aplicaciones objetivo y envía URLs de phishing para superponer páginas falsas cada vez que se abren las aplicaciones legítimas. El módulo keylogger captura y transmite las credenciales ingresadas a través de estas páginas falsas al servidor C2.
Antidot se distingue por utilizar WebSocket para mantener una comunicación bidireccional en tiempo real con su servidor C2, permitiendo una interacción continua y el control remoto del dispositivo infectado. Puede recopilar mensajes SMS, iniciar solicitudes USSD, y controlar características del dispositivo como la cámara y el bloqueo de pantalla. Además, implementa VNC usando MediaProjection para habilitar el control remoto de los dispositivos, amplificando la amenaza.
Este control remoto permite a los atacantes monitorear actividades en tiempo real, realizar transacciones no autorizadas y acceder a información privada, maximizando la explotación de recursos financieros y datos personales. Se recomienda a los usuarios no descargar aplicaciones de sitios no oficiales y utilizar antivirus como Koodous para mantenerse protegidos.
