AppLite Banker Mobile Malware
Experții în securitate cibernetică au descoperit o schemă sofisticată de phishing care vizează distribuirea unei variante actualizate a troianului bancar Antidot. Funcționând ca o campanie mobilă de phishing (sau mishing), atacatorii se deghizează în recrutori care oferă oportunități de angajare atrăgătoare.
Cuprins
Oferte de muncă Ascunderea intenției rele
Prezentându-se ca parte a unui proces de recrutare legitim, atacatorii păcălesc victimele să descarce o aplicație frauduloasă. Această aplicație amenințătoare servește ca un dropper, livrând noua variantă a Antidot Banker pe dispozitivul victimei sub masca unui software legitim.
Vă prezentăm AppLite Banker: O amenințare deghizată
Malware-ul actualizat, numit de către cercetătorii în domeniul securității AppLite Banker, are capabilități avansate. Poate extrage acreditările de deblocare a dispozitivului, cum ar fi coduri PIN, modele sau parole și poate prelua de la distanță controlul dispozitivelor infectate. Aceste caracteristici ecou tactici văzute în amenințări similare precum TrickMo.
Inginerie socială și scheme de locuri de muncă
Atacatorii folosesc tactici de inginerie socială pentru a atrage victimele cu promisiuni de oportunități de muncă profitabile. De exemplu, o campanie de phishing din septembrie 2024 a uzurpat identitatea unei companii canadiane, Teximus Technologies, susținând că oferă roluri de servicii clienți la distanță cu salarii pe oră atractive și potențial de creștere a carierei. Victimele care interacționează cu acești „recruitori” sunt direcționate să descarce aplicații nesigure de pe site-uri de phishing, inițiind procesul de instalare a programelor malware.
Aplicații false și domenii de phishing
Aplicațiile dăunătoare, mascandu-se drept instrumente CRM ale angajaților, sunt distribuite printr-o rețea de domenii înșelătoare. Aceste aplicații dropper eludează în mod inteligent detectarea manipulând fișierele ZIP și ocolind apărările de securitate. Victimelor li se cere să înregistreze un cont și să instaleze o actualizare falsă a aplicației, aparent pentru a „își păstra telefonul protejat”. Presupusa actualizare este apoi livrată printr-o interfață falsă a Magazinului Google Play, completând implementarea malware-ului.
Exploatarea caracteristicilor de accesibilitate pentru activități dăunătoare
Ca și în cazul iterațiilor anterioare, aplicația AppLite Banker abuzează de permisiunile Serviciilor de accesibilitate Android. Acest acces îi permite să suprapună ecrane, să-și acorde singur permisiuni și să efectueze alte activități dăunătoare.
Funcționalitățile cheie includ:
- Furarea acreditărilor contului Google prin suprapuneri pe ecran.
- Modificarea setărilor dispozitivului, cum ar fi luminozitatea ecranului și aplicațiile implicite.
Control extins asupra dispozitivelor infectate
Cea mai recentă versiune introduce caracteristici care îi sporesc nivelul de amenințare, inclusiv:
- Blocarea apelurilor și ascunderea mesajelor SMS pe baza instrucțiunilor serverului de la distanță.
- Oferă pagini de conectare false pentru 172 de bănci, portofele cu criptomonede și platforme de social media precum Facebook și Telegram.
- Permite înregistrarea tastelor, furtul de SMS-uri, redirecționarea apelurilor și Virtual Network Computing (VNC) pentru a manipula dispozitivele de la distanță.
Un public țintă global
Campania pare să vizeze utilizatorii din diferite regiuni, în special pe cei care cunosc limbi precum engleza, spaniolă, rusă, franceză, germană, italiană și portugheză.
Apărarea proactivă este cheia
Având în vedere natura sofisticată și impactul de anvergură al acestei amenințări, implementarea măsurilor de protecție robuste este esențială. Utilizatorii ar trebui să fie precauți atunci când primesc oferte de muncă nesolicitate sau solicitări pentru a instala aplicații externe. Rămâneți vigilenți și acordați prioritate securității mobile pot ajuta la prevenirea potențialelor pierderi de date și financiare.
