AppLite Banker mobiili pahavara
Küberturvalisuse eksperdid on avastanud keeruka andmepüügiskeemi, mille eesmärk on levitada Antidot pangandustrooja uuendatud varianti. Mobiilse andmepüügi (või eksitamise) kampaaniana tegutsevad ründajad maskeerivad end värbajateks, kes pakuvad ahvatlevaid töövõimalusi.
Sisukord
Kurja kavatsuse varjamise tööpakkumised
Esinedes seadusliku värbamisprotsessi osana, meelitavad ründajad ohvreid petturliku rakenduse alla laadima. See ähvardav rakendus toimib tilgutajana, toimetades legitiimse tarkvara varjus ohvri seadmesse Antidot Bankeri uue variandi.
Tutvustame rakendust AppLite Banker: varjatud oht
Värskendatud pahavara, mille turvateadlaste koodnimetus on AppLite Banker, on täiustatud võimalustega. See võib eraldada seadme lukustuse avamise mandaadid (nt PIN-koodid, mustrid või paroolid) ja võtta nakatunud seadmete kaugjuhtimise üle. Need funktsioonid kajastavad sarnaste ohtude (nt TrickMo) puhul nähtud taktikat.
Sotsiaaltehnoloogia ja tööskeemid
Ründajad kasutavad sotsiaalse manipuleerimise taktikat, et meelitada ohvreid tulusate töövõimaluste lubadustega. Näiteks 2024. aasta septembris toimunud andmepüügikampaanias esines Kanada ettevõte Teximus Technologies, kes väitis, et pakub kaugklienditeeninduse rolle atraktiivse tunnipalga ja karjääri kasvupotentsiaaliga. Nende "värbajatega" seotud ohvreid suunatakse andmepüügisaitidelt alla laadima ohtlikke rakendusi, alustades pahavara installiprotsessi.
Võltsrakendused ja andmepüügidomeenid
Kahjulikke rakendusi, mis maskeeritakse töötajate CRM-i tööriistadena, levitatakse petlike domeenide võrgu kaudu. Need tilgutirakendused väldivad nutikalt tuvastamist, manipuleerides ZIP-failidega ja minnes turvameetmetest mööda. Ohvritel palutakse registreerida konto ja installida võltsrakenduse värskendus, näiliselt selleks, et "hoida oma telefoni kaitstuna". Seejärel tarnitakse eeldatav värskendus Google Play poe võltsitud liidese kaudu, mis viib pahavara juurutamise lõpule.
Juurdepääsetavusfunktsioonide kasutamine kahjulike tegevuste jaoks
Nagu eelmiste iteratsioonide puhul, kuritarvitab rakendus AppLite Banker Androidi juurdepääsetavuse teenuste õigusi. See juurdepääs võimaldab tal ekraane katta, ise lubasid anda ja muid kahjulikke toiminguid teha.
Põhifunktsioonid hõlmavad järgmist:
- Google'i konto mandaatide varastamine ekraani ülekatete kaudu.
- Seadme seadete (nt ekraani heleduse ja vaikerakenduste) muutmine.
Laiendatud kontroll nakatunud seadmete üle
Uusim versioon sisaldab funktsioone, mis tõstavad selle ohutaset, sealhulgas:
- Kõnede blokeerimine ja SMS-sõnumite peitmine kaugserveri juhiste alusel.
- 172 panga võlts-sisselogimislehtede, krüptovaluutade rahakottide ja sotsiaalmeediaplatvormide, nagu Facebook ja Telegram, teenindamine.
- Klahvide logimise, SMS-i varguse, kõnede suunamise ja virtuaalse võrgu andmetöötluse (VNC) lubamine seadmetega kaughaldamiseks.
Ülemaailmne sihtrühm
Näib, et kampaania sihib kasutajaid erinevates piirkondades, eriti neid, kes valdavad selliseid keeli nagu inglise, hispaania, vene, prantsuse, saksa, itaalia ja portugali keel.
Ennetav kaitse on võtmetähtsusega
Arvestades selle ohu keerulist olemust ja kaugeleulatuvat mõju, on tugevate kaitsemeetmete rakendamine ülioluline. Kasutajad peaksid olema ettevaatlikud, kui saavad pealesunnitud tööpakkumisi või viipasid installida väliseid rakendusi. Valvsus ja mobiilse turvalisuse tähtsuse järjekorda seadmine aitab ära hoida võimalikke andme- ja rahalisi kahjusid.
