Malware mobile AppLite Banker
Gli esperti di sicurezza informatica hanno scoperto un sofisticato schema di phishing mirato a distribuire una variante aggiornata del trojan bancario Antidot. Operando come una campagna di phishing mobile (o mishing), gli aggressori si travestono da reclutatori che offrono allettanti opportunità di lavoro.
Sommario
Offerte di lavoro che nascondono intenti malvagi
Fingendosi parte di un legittimo processo di reclutamento, gli aggressori ingannano le vittime inducendole a scaricare un'applicazione fraudolenta. Questa applicazione minacciosa funge da dropper, consegnando la nuova variante di Antidot Banker al dispositivo della vittima sotto le mentite spoglie di un software legittimo.
Presentazione di AppLite Banker: una minaccia sotto mentite spoglie
Il malware aggiornato, il cui nome in codice è AppLite Banker dai ricercatori di sicurezza, vanta capacità avanzate. Può estrarre credenziali di sblocco del dispositivo come PIN, pattern o password e prendere il controllo remoto dei dispositivi infetti. Queste caratteristiche riecheggiano tattiche viste in minacce simili come TrickMo.
Ingegneria sociale e schemi di lavoro
Gli aggressori impiegano tattiche di ingegneria sociale per adescare le vittime con promesse di opportunità di lavoro redditizie. Ad esempio, una campagna di phishing del settembre 2024 ha impersonato un'azienda canadese, Teximus Technologies, che sosteneva di offrire ruoli di assistenza clienti da remoto con salari orari interessanti e potenziale di crescita professionale. Le vittime che interagiscono con questi "recruiter" vengono indirizzate a scaricare applicazioni non sicure da siti di phishing, avviando il processo di installazione del malware.
Applicazioni false e domini di phishing
Le applicazioni dannose, mascherate da strumenti CRM per dipendenti, vengono distribuite tramite una rete di domini ingannevoli. Queste app dropper eludono abilmente il rilevamento manipolando i file ZIP e aggirando le difese di sicurezza. Alle vittime viene chiesto di registrare un account e installare un falso aggiornamento dell'applicazione, apparentemente per "proteggere il telefono". Il presunto aggiornamento viene quindi distribuito tramite un'interfaccia contraffatta del Google Play Store, completando la distribuzione del malware.
Sfruttare le funzionalità di accessibilità per attività dannose
Come nelle iterazioni precedenti, l'applicazione AppLite Banker abusa delle autorizzazioni di Android Accessibility Services. Questo accesso le consente di sovrapporre schermate, auto-concedere autorizzazioni ed eseguire altre attività dannose.
Le funzionalità principali includono:
- Furto delle credenziali dell'account Google tramite sovrapposizioni dello schermo.
- Modifica delle impostazioni del dispositivo, come la luminosità dello schermo e le app predefinite.
Controllo esteso sui dispositivi infetti
L'ultima versione introduce funzionalità che ne aumentano il livello di minaccia, tra cui:
- Blocco delle chiamate e occultamento dei messaggi SMS in base alle istruzioni del server remoto.
- Fornitura di pagine di accesso false per 172 banche, portafogli di criptovalute e piattaforme di social media come Facebook e Telegram.
- Abilitazione del keylogging, del furto di SMS, dell'inoltro di chiamata e del Virtual Network Computing (VNC) per manipolare i dispositivi da remoto.
Un pubblico di destinazione globale
La campagna sembra essere rivolta a utenti di diverse regioni, in particolare a coloro che parlano lingue come inglese, spagnolo, russo, francese, tedesco, italiano e portoghese.
La difesa proattiva è la chiave
Data la natura sofisticata e l'impatto di vasta portata di questa minaccia, è fondamentale implementare misure di protezione robuste. Gli utenti dovrebbero prestare attenzione quando ricevono offerte di lavoro indesiderate o richieste di installazione di applicazioni esterne. Rimanere vigili e dare priorità alla sicurezza mobile può aiutare a prevenire potenziali perdite di dati e finanziarie.
