AppLite Banker Mobile Malware
Cybersikkerhedseksperter har afsløret en sofistikeret phishing-ordning, der har til formål at distribuere en opdateret variant af Antidot-banktrojaneren. Angriberne, der fungerer som en mobil phishing-kampagne (eller mishing), forklæder sig selv som rekrutterere, der tilbyder lokkende jobmuligheder.
Indholdsfortegnelse
Jobtilbud, der skjuler ond hensigt
Angriberne, der udgør en del af en legitim rekrutteringsproces, narrer ofrene til at downloade en svigagtig applikation. Denne truende applikation fungerer som en dropper, der leverer den nye variant af Antidot Banker til ofrets enhed under dække af legitim software.
Introduktion af AppLite Banker: A Threat in Disguise
Den opdaterede malware, kodenavnet AppLite Banker af sikkerhedsforskere, kan prale af avancerede muligheder. Det kan udtrække legitimationsoplysninger til oplåsning af enheder såsom PIN-koder, mønstre eller adgangskoder og fjernstyre inficerede enheder. Disse funktioner ekko taktik set i lignende trusler som TrickMo.
Socialteknik og jobordninger
Angribere anvender social ingeniør-taktik for at lokke ofre med løfter om lukrative jobmuligheder. For eksempel efterlignede en phishing-kampagne i september 2024 en canadisk virksomhed, Teximus Technologies, der hævdede at tilbyde fjernkundeserviceroller med attraktive timeløn og karrierevækstpotentiale. Ofre, der engagerer sig med disse 'rekrutterere', bliver bedt om at downloade usikre applikationer fra phishing-websteder, hvilket starter malwareinstallationsprocessen.
Falske applikationer og phishing-domæner
De skadelige applikationer, der forklæder sig som medarbejderes CRM-værktøjer, distribueres via et netværk af vildledende domæner. Disse dropper-apps undgår klogt at blive opdaget ved at manipulere ZIP-filer og omgå sikkerhedsforsvar. Ofre bliver bedt om at registrere en konto og installere en falsk programopdatering, angiveligt for at 'holde deres telefon beskyttet'. Den formodede opdatering leveres derefter gennem en forfalsket Google Play Butik-grænseflade, hvilket fuldender malware-implementeringen.
Udnyttelse af tilgængelighedsfunktioner til skadelige aktiviteter
Som med tidligere iterationer misbruger AppLite Banker-applikationen Android Accessibility Services-tilladelser. Denne adgang gør det muligt for den at overlejre skærme, selv give tilladelser og udføre andre skadelige aktiviteter.
Nøglefunktioner omfatter:
- Stjæling af Google-kontooplysninger via skærmoverlejringer.
- Ændring af enhedsindstillinger såsom skærmens lysstyrke og standardapps.
Udvidet kontrol over inficerede enheder
Den seneste version introducerer funktioner, der øger trusselsniveauet, herunder:
- Blokering af opkald og skjul SMS-beskeder baseret på fjernserverinstruktioner.
- Serverer falske login-sider for 172 banker, cryptocurrency-punge og sociale medieplatforme som Facebook og Telegram.
- Aktivering af keylogging, SMS-tyveri, viderestilling af opkald og Virtual Network Computing (VNC) for at fjernmanipulere enheder.
En global målgruppe
Kampagnen ser ud til at målrette mod brugere på tværs af forskellige regioner, især dem, der er dygtige til sprog som engelsk, spansk, russisk, fransk, tysk, italiensk og portugisisk.
Proaktivt forsvar er nøglen
I betragtning af den sofistikerede karakter og vidtrækkende virkning af denne trussel, er det afgørende at implementere robuste beskyttelsesforanstaltninger. Brugere bør udvise forsigtighed, når de modtager uopfordrede jobtilbud eller opfordringer om at installere eksterne applikationer. At være på vagt og prioritere mobil sikkerhed kan hjælpe med at forhindre potentielle data og økonomiske tab.
