Bagi pengguna Android saat mereka menjadi korban malware Antidot, di mana ancaman dunia maya canggih menyamar sebagai pembaruan Google Play yang tidak berbahaya. Malware menunjukkan laman pembaruan Google Play palsu ini mendukung berbagai bahasa, termasuk Jerman, Prancis, Spanyol, Rusia, Portugis, Rumania, dan Inggris. Dengan dukungan bahasa beragam, ini berarti penjahat membuat malware Antidot menargetkan berbagai pengguna berbeda dan negara di dunia. 

Bagaimana cara Antidot ini mencuri data pengguna? malware ini menggunakan dua cara yaitu serangan overlay dan keylogging.

Apa itu? Serangan overlay membuat tampilan palsu mirip dengan laman aplikasi Google Play asli, dan menipu pengguna untuk memasukkan informasi data login mereka.

Sementara keylogging diam-diam mecatat semua keystroke yang korban pencet di keyboard, sehingga malware dapat mencuri data, termasuk password dan lainnya.

"Parahnya, malware Antidot ini bisa beroperasi karena diberi akses "Accessibility" oleh korban tanpa mereka sadari. Dengan akses ini, pelaku kejahatan dapat menyalahgunakan izin "Accessibility" tersebut untuk terhubung ke server milik hacker dan menerima perintah dari luar. Server jahat tersebut kemudian meminta daftar aplikasi yang terinstall di HP kamu sehingga malware ini bisa fokus mencuri data dari aplikasi-aplikasi tertentu! Setelah mengidentifikasi target, server mengirimkan URL injeksi overlay (halaman phishing HTML) yang ditampilkan kepada korban setiap kali korban membuka aplikasi asli. Saat korban memasukkan kredensial mereka di laman palsu tersebut, modul keylogger akan mengirimkan data ke server C2. Ini memungkinkan malware mencuri informasi korbannya.

“Bedanya Antidot adalah penggunaan WebSocket untuk menjaga komunikasi dengan server [C2]. “Hal ini memungkinkan interaksi dua arah secara real-time untuk menjalankan perintah, memberikan penyerang kendali penuh terhadap perangkat terinfeksi.” Di antara perintah yang dijalankan oleh Antidot adalah pengumpulan pesan SMS, inisiasi permintaan data layanan tambahan tidak terstruktur (USSD), dan kendali jarak jauh fitur perangkat seperti kamera dan kunci layar. “Kemampuan ini memaksimalkan potensi mereka untuk mengeksploitasi sumber daya keuangan dan data pribadi korban.”