AppLite Banker Mobile Malware
Eksperci ds. cyberbezpieczeństwa odkryli wyrafinowany schemat phishingu mający na celu dystrybucję zaktualizowanej wersji trojana bankowego Antidot. Działając jako kampania phishingu mobilnego (lub mishingu), atakujący podszywają się pod rekruterów oferujących kuszące oferty pracy.
Spis treści
Oferty pracy ukrywające złe intencje
Podszywając się pod legalny proces rekrutacyjny, atakujący oszukują ofiary, aby pobrały fałszywą aplikację. Ta groźna aplikacja działa jak dropper, dostarczając nową odmianę Antidot Banker na urządzenie ofiary pod przykrywką legalnego oprogramowania.
Przedstawiamy AppLite Banker: Zagrożenie w przebraniu
Zaktualizowane złośliwe oprogramowanie, nazwane przez badaczy bezpieczeństwa AppLite Banker, oferuje zaawansowane możliwości. Potrafi wyodrębnić dane uwierzytelniające do odblokowania urządzenia, takie jak kody PIN, wzorce lub hasła, i zdalnie przejąć kontrolę nad zainfekowanymi urządzeniami. Funkcje te odzwierciedlają taktyki stosowane w podobnych zagrożeniach, takich jak TrickMo.
Inżynieria społeczna i plany pracy
Atakujący stosują taktykę socjotechniczną, aby zwabić ofiary obietnicami lukratywnych ofert pracy. Na przykład kampania phishingowa z września 2024 r. podszywała się pod kanadyjską firmę Teximus Technologies, twierdząc, że oferuje zdalne stanowiska obsługi klienta z atrakcyjnymi stawkami godzinowymi i potencjałem rozwoju kariery. Ofiary nawiązujące kontakt z tymi „rekruterami” są kierowane do pobierania niebezpiecznych aplikacji ze stron phishingowych, co inicjuje proces instalacji złośliwego oprogramowania.
Fałszywe aplikacje i domeny phishingowe
Szkodliwe aplikacje, podszywające się pod narzędzia CRM dla pracowników, są dystrybuowane za pośrednictwem sieci oszukańczych domen. Te aplikacje dropper sprytnie unikają wykrycia, manipulując plikami ZIP i omijając zabezpieczenia. Ofiary są proszone o zarejestrowanie konta i zainstalowanie fałszywej aktualizacji aplikacji, rzekomo w celu „zabezpieczenia telefonu”. Rzekoma aktualizacja jest następnie dostarczana za pośrednictwem podrobionego interfejsu Google Play Store, kończąc wdrażanie złośliwego oprogramowania.
Wykorzystywanie funkcji ułatwień dostępu do szkodliwych działań
Podobnie jak w przypadku poprzednich iteracji, aplikacja AppLite Banker nadużywa uprawnień Android Accessibility Services. Ten dostęp umożliwia jej nakładanie ekranów, samodzielne udzielanie uprawnień i wykonywanie innych szkodliwych działań.
Główne funkcjonalności obejmują:
- Kradzież danych logowania do konta Google za pomocą nakładek ekranowych.
- Zmiana ustawień urządzenia, takich jak jasność ekranu i domyślne aplikacje.
Rozszerzona kontrola nad zainfekowanymi urządzeniami
Najnowsza wersja wprowadza funkcje, które zwiększają poziom zagrożenia, w tym:
- Blokowanie połączeń i ukrywanie wiadomości SMS na podstawie instrukcji zdalnego serwera.
- Udostępnianie fałszywych stron logowania dla 172 banków, portfeli kryptowalut i platform mediów społecznościowych, takich jak Facebook i Telegram.
- Umożliwianie rejestrowania naciśnięć klawiszy, kradzieży wiadomości SMS, przekierowywania połączeń i korzystania z technologii Virtual Network Computing (VNC) w celu zdalnego manipulowania urządzeniami.
Globalna grupa docelowa
Kampania wydaje się być skierowana do użytkowników z różnych regionów, w szczególności tych, którzy biegle władają takimi językami jak angielski, hiszpański, rosyjski, francuski, niemiecki, włoski i portugalski.
Kluczem jest proaktywna obrona
Biorąc pod uwagę wyrafinowaną naturę i dalekosiężne skutki tego zagrożenia, wdrożenie solidnych środków ochrony jest krytyczne. Użytkownicy powinni zachować ostrożność, otrzymując niechciane oferty pracy lub monity o zainstalowanie zewnętrznych aplikacji. Zachowanie czujności i priorytetowe traktowanie bezpieczeństwa urządzeń mobilnych może pomóc zapobiec potencjalnym stratom danych i stratom finansowym.
