AppLite Banker Mobile -haittaohjelma
Kyberturvallisuusasiantuntijat ovat paljastaneet kehittyneen tietojenkalasteluohjelman, jonka tarkoituksena on jakaa Antidot-pankkitroijalaisen päivitetty versio. Mobiilitietojenkalastelu (tai mishing) -kampanjana toimivat hyökkääjät naamioituvat rekrytoijiksi, jotka tarjoavat houkuttelevia työmahdollisuuksia.
Sisällysluettelo
Pahojen aikomusten peittäminen työtarjouksia
Esiintyessään osana laillista rekrytointiprosessia hyökkääjät huijaavat uhreja lataamaan vilpillisen sovelluksen. Tämä uhkaava sovellus toimii tiputtajana ja toimittaa Antidot Bankerin uuden version uhrin laitteelle laillisen ohjelmiston varjolla.
Esittelyssä AppLite Banker: A Threat in Disguise
Päivitetyssä haittaohjelmassa, jonka tietoturvatutkijat antoivat koodinimeltään AppLite Banker, on kehittyneitä ominaisuuksia. Se voi poimia laitteen lukituksen avaustiedot, kuten PIN-koodit, kuviot tai salasanat, ja ottaa tartunnan saaneet laitteet etähallintaan. Nämä ominaisuudet kaikuvat taktiikkaa, joka on nähty samanlaisissa uhissa, kuten TrickMo.
Sosiaalinen suunnittelu ja työsuunnitelmat
Hyökkääjät käyttävät sosiaalisen suunnittelun taktiikkaa houkutellakseen uhreja lupaamalla tuottoisia työmahdollisuuksia. Esimerkiksi syyskuun 2024 tietojenkalastelukampanja esiintyi kanadalaisena Teximus Technologies -yrityksenä, joka väitti tarjoavansa etäasiakaspalvelurooleja houkuttelevilla tuntipalkoilla ja uran kasvupotentiaalilla. Näiden "rekrytoijien" kanssa tekemisissä olevat uhrit ohjataan lataamaan vaarallisia sovelluksia tietojenkalastelusivustoilta, mikä käynnistää haittaohjelmien asennusprosessin.
Väärennetyt sovellukset ja tietojenkalasteluverkkotunnukset
Haitalliset sovellukset, jotka naamioituvat työntekijöiden CRM-työkaluiksi, levitetään harhaanjohtavien verkkotunnusten verkoston kautta. Nämä dropper-sovellukset välttävät havaitsemisen taitavasti manipuloimalla ZIP-tiedostoja ja ohittamalla suojaukset. Uhreja kehotetaan rekisteröimään tili ja asentamaan väärennetty sovelluspäivitys näennäisesti "puhelimensa suojaamiseksi". Oletettu päivitys toimitetaan sitten väärennetyn Google Play -kaupan käyttöliittymän kautta, mikä viimeistelee haittaohjelmien käyttöönoton.
Esteettömyysominaisuuksien hyödyntäminen haitallisiin toimiin
Aiempien iteraatioiden tapaan AppLite Banker -sovellus käyttää väärin Androidin esteettömyyspalveluiden käyttöoikeuksia. Tämä käyttöoikeus mahdollistaa sen, että se voi peittää näytöt, myöntää itse lupia ja suorittaa muita haitallisia toimintoja.
Keskeisiä toimintoja ovat:
- Google-tilin kirjautumistietojen varastaminen näytön peittokuvien avulla.
- Laitteen asetusten, kuten näytön kirkkauden ja oletussovellusten, muuttaminen.
Laajennettu hallinta tartunnan saaneisiin laitteisiin
Uusin versio sisältää ominaisuuksia, jotka lisäävät sen uhkatasoa, mukaan lukien:
- Puheluiden estäminen ja tekstiviestien piilottaminen etäpalvelimen ohjeiden mukaan.
- Tarjoaa väärennettyjä kirjautumissivuja 172 pankille, kryptovaluuttalompakoita ja sosiaalisen median alustoja, kuten Facebook ja Telegram.
- Näppäinlokituksen, tekstiviestivarkauksien, soitonsiirron ja Virtual Network Computing (VNC) -toiminnon mahdollistaminen laitteiden etäkäsittelyä varten.
Maailmanlaajuinen kohdeyleisö
Kampanja näyttää kohdistuvan käyttäjille eri alueilla, erityisesti niille, jotka hallitsevat kieliä, kuten englanti, espanja, venäjä, ranska, saksa, italia ja portugali.
Ennakoiva puolustus on avainasemassa
Tämän uhan kehittyneen luonteen ja kauaskantoisten vaikutusten vuoksi vankkojen suojatoimenpiteiden toteuttaminen on ratkaisevan tärkeää. Käyttäjien tulee olla varovaisia, kun he saavat ei-toivottuja työtarjouksia tai kehotteita asentaa ulkoisia sovelluksia. Valppaana pysyminen ja mobiiliturvallisuuden priorisointi voi auttaa estämään mahdollisia data- ja taloudellisia menetyksiä.
