بدافزار AppLite Banker Mobile

کارشناسان امنیت سایبری یک طرح فیشینگ پیچیده را با هدف توزیع یک نوع به روز شده از تروجان بانکی Antidot کشف کرده اند. مهاجمان که به عنوان یک کمپین فیشینگ (یا اشتباه) موبایل عمل می کنند، خود را به عنوان استخدام کنندگانی مبدل می کنند که فرصت های شغلی فریبنده ای را ارائه می دهند.

پیشنهادات شغلی پنهان کردن نیت شیطانی

مهاجمان به عنوان بخشی از فرآیند استخدام قانونی، قربانیان را فریب می دهند تا یک برنامه تقلبی را دانلود کنند. این برنامه تهدید کننده به عنوان یک قطره چکان عمل می کند و نوع جدید Antidot Banker را تحت پوشش نرم افزار قانونی به دستگاه قربانی تحویل می دهد.

معرفی AppLite Banker: A Threat in Disguise

بدافزار به روز شده که توسط محققان امنیتی با اسم رمز AppLite Banker شناخته می شود، دارای قابلیت های پیشرفته ای است. این می تواند اعتبارنامه های بازگشایی قفل دستگاه مانند پین ها، الگوها یا رمزهای عبور را استخراج کند و از راه دور دستگاه های آلوده را کنترل کند. این ویژگی ها بازتاب تاکتیک هایی است که در تهدیدات مشابهی مانند TrickMo دیده می شود.

مهندسی اجتماعی و طرح های شغلی

مهاجمان از تاکتیک های مهندسی اجتماعی استفاده می کنند تا قربانیان را با وعده فرصت های شغلی پرسود فریب دهند. به عنوان مثال، یک کمپین فیشینگ در سپتامبر 2024 جعل یک شرکت کانادایی به نام Teximus Technologies بود که ادعا می کرد نقش های خدمات مشتری از راه دور را با دستمزد ساعتی جذاب و پتانسیل رشد شغلی ارائه می دهد. قربانیانی که با این «استخدام کننده‌ها» درگیر می‌شوند، هدایت می‌شوند تا برنامه‌های ناامن را از سایت‌های فیشینگ دانلود کنند و فرآیند نصب بدافزار را آغاز کنند.

برنامه های کاربردی جعلی و دامنه های فیشینگ

برنامه‌های مضر که به عنوان ابزارهای CRM کارمندان ظاهر می‌شوند، از طریق شبکه‌ای از دامنه‌های فریبنده توزیع می‌شوند. این برنامه های قطره چکانی با دستکاری فایل های ZIP و دور زدن دفاع های امنیتی، هوشمندانه از تشخیص فرار می کنند. از قربانیان خواسته می شود تا یک حساب کاربری ثبت کنند و یک به روز رسانی برنامه جعلی را نصب کنند، ظاهراً برای "محافظت از تلفن خود". به‌روزرسانی فرضی سپس از طریق یک رابط تقلبی فروشگاه Google Play ارائه می‌شود و استقرار بدافزار را تکمیل می‌کند.

بهره برداری از ویژگی های دسترسی برای فعالیت های مضر

مانند تکرارهای قبلی، برنامه AppLite Banker از مجوزهای خدمات دسترسی به Android سوء استفاده می کند. این دسترسی آن را قادر می‌سازد تا روی صفحه‌ها قرار بگیرد، مجوزهای خود را اعطا کند و سایر فعالیت‌های مضر را انجام دهد.

عملکردهای کلیدی عبارتند از:

• سرقت اطلاعات حساب کاربری گوگل از طریق پوشش های صفحه نمایش.
• تغییر تنظیمات دستگاه مانند روشنایی صفحه نمایش و برنامه های پیش فرض.

کنترل گسترده بر دستگاه های آلوده

آخرین نسخه ویژگی هایی را معرفی می کند که سطح تهدید آن را افزایش می دهد، از جمله:

• مسدود کردن تماس ها و مخفی کردن پیام های SMS بر اساس دستورالعمل های سرور راه دور.
• ارائه صفحات لاگین جعلی برای 172 بانک، کیف پول ارزهای دیجیتال و پلتفرم های رسانه های اجتماعی مانند فیس بوک و تلگرام.
• فعال کردن keylogging، سرقت پیامک، ارسال تماس، و محاسبات شبکه مجازی (VNC) برای دستکاری از راه دور دستگاه ها.

یک مخاطب هدف جهانی

به نظر می رسد این کمپین کاربران را در مناطق مختلف هدف قرار می دهد، به ویژه آنهایی که به زبان هایی مانند انگلیسی، اسپانیایی، روسی، فرانسوی، آلمانی، ایتالیایی و پرتغالی مهارت دارند.

دفاع پیشگیرانه کلیدی است

با توجه به ماهیت پیچیده و تأثیر گسترده این تهدید، اجرای اقدامات حفاظتی قوی حیاتی است. کاربران باید هنگام دریافت پیشنهادهای شغلی ناخواسته یا درخواست نصب برنامه های خارجی احتیاط کنند. هوشیار ماندن و اولویت دادن به امنیت تلفن همراه می تواند به جلوگیری از ضررهای احتمالی داده ها و مالی کمک کند.