AppLite Banker Mobile Malware
Kiberbiztonsági szakértők egy kifinomult adathalász rendszert fedeztek fel, amelynek célja az Antidot banki trójai frissített változatának terjesztése. A mobil adathalász (vagy mishing) kampányként működő támadók toborzónak álcázzák magukat, és csábító munkalehetőségeket kínálnak.
Tartalomjegyzék
Gonosz szándékot rejtő állásajánlatok
A támadók egy törvényes toborzási folyamat részeként állítják be az áldozatokat, hogy csaló alkalmazást töltsenek le. Ez a fenyegető alkalmazás csepegtetőként szolgál, és törvényes szoftver leple alatt eljuttatja az áldozat eszközére az Antidot Banker új változatát.
Bemutatjuk az AppLite Banker: A Threat in Disguise
A frissített kártevő, amelyet a biztonsági kutatók AppLite Banker kódnéven kereszteltek el, fejlett képességekkel büszkélkedhet. Kivonhatja az eszköz feloldó hitelesítő adatait, például PIN-kódokat, mintákat vagy jelszavakat, és távolról átveheti az irányítást a fertőzött eszközök felett. Ezek a funkciók a hasonló fenyegetéseknél, például a TrickMo-nál tapasztalható taktikát tükrözik.
Társadalmi tervezés és munkaprogramok
A támadók szociális tervezési taktikákat alkalmaznak, hogy jövedelmező munkalehetőségek ígéretével csalják el az áldozatokat. Például egy 2024. szeptemberi adathalász kampány egy kanadai Teximus Technologies vállalatot adott ki, és azt állította, hogy távoli ügyfélszolgálati feladatokat kínál vonzó órabérrel és karriernövekedési lehetőséggel. Az ilyen „toborzókkal” kapcsolatba kerülő áldozatokat arra utasítják, hogy adathalász webhelyekről töltsenek le nem biztonságos alkalmazásokat, elindítva a rosszindulatú programok telepítésének folyamatát.
Hamis alkalmazások és adathalász domainek
Az alkalmazotti CRM-eszközöknek álcázott káros alkalmazásokat megtévesztő tartományok hálózatán keresztül terjesztik. Ezek a cseppentős alkalmazások a ZIP-fájlok manipulálásával és a biztonsági védelem megkerülésével ügyesen elkerülik az észlelést. Az áldozatokat arra kérik, hogy regisztráljanak fiókot, és telepítsenek egy hamis alkalmazásfrissítést, látszólag azért, hogy „védjék telefonjukat”. A feltételezett frissítés ezután egy hamisított Google Play Áruház felületén keresztül érkezik meg, ezzel befejezve a rosszindulatú programok telepítését.
A kisegítő lehetőségek kihasználása káros tevékenységekhez
A korábbi iterációkhoz hasonlóan az AppLite Banker alkalmazás is visszaél az Android Accessibility Services engedélyeivel. Ez a hozzáférés lehetővé teszi a képernyők lefedését, az engedélyek önálló megadását és egyéb káros tevékenységek végrehajtását.
A legfontosabb funkciók a következők:
- Google-fiók hitelesítő adatainak ellopása képernyőfedvényeken keresztül.
- Az eszköz beállításainak módosítása, például a képernyő fényereje és az alapértelmezett alkalmazások.
Kibővített felügyelet a fertőzött eszközök felett
A legújabb verzió olyan funkciókat vezet be, amelyek növelik a fenyegetettség szintjét, többek között:
- Hívások blokkolása és SMS üzenetek elrejtése a távoli szerver utasításai alapján.
- Hamis bejelentkezési oldalak kiszolgálása 172 bank, kriptovaluta pénztárcák és közösségi média platformok, például Facebook és Telegram számára.
- A billentyűnaplózás, az SMS-lopás, a hívásátirányítás és a virtuális hálózati számítástechnika (VNC) engedélyezése az eszközök távoli kezeléséhez.
Globális célközönség
Úgy tűnik, hogy a kampány különböző régiók felhasználóit célozza meg, különösen az angol, spanyol, orosz, francia, német, olasz és portugál nyelvekben jártasakat.
A proaktív védelem kulcsfontosságú
Tekintettel e fenyegetés kifinomult természetére és nagy horderejű hatásaira, kulcsfontosságú a határozott védelmi intézkedések végrehajtása. A felhasználóknak óvatosnak kell lenniük, amikor kéretlen állásajánlatokat kapnak, vagy külső alkalmazások telepítésére vonatkozó felszólításokat kapnak. Az éberség és a mobilbiztonság előtérbe helyezése segíthet megelőzni az esetleges adat- és pénzügyi veszteségeket.
