AppLite Banker Мобильное вредоносное ПО
Эксперты по кибербезопасности раскрыли сложную схему фишинга, направленную на распространение обновленной версии банковского трояна Antidot. Действуя как мобильная фишинговая (или мишинговая) кампания, злоумышленники маскируются под рекрутеров, предлагающих заманчивые вакансии.
Оглавление
Предложения о работе, скрывающие злой умысел
Выдавая себя за часть законного процесса вербовки, злоумышленники обманывают жертв, заставляя их загрузить мошенническое приложение. Это угрожающее приложение служит в качестве дроппера, доставляя новый вариант Antidot Banker на устройство жертвы под видом законного программного обеспечения.
Представляем AppLite Banker: скрытая угроза
Обновленная вредоносная программа, получившая от исследователей безопасности кодовое название AppLite Banker, может похвастаться расширенными возможностями. Она может извлекать учетные данные для разблокировки устройств, такие как PIN-коды, шаблоны или пароли, и удаленно получать контроль над зараженными устройствами. Эти функции перекликаются с тактикой, которую можно увидеть в похожих угрозах, таких как TrickMo.
Социальная инженерия и схемы трудоустройства
Злоумышленники используют тактику социальной инженерии, чтобы заманить жертв обещаниями прибыльных вакансий. Например, фишинговая кампания в сентябре 2024 года выдавала себя за канадскую компанию Teximus Technologies, утверждая, что предлагает удаленные должности по обслуживанию клиентов с привлекательной почасовой оплатой и потенциалом карьерного роста. Жертвы, взаимодействующие с этими «рекрутерами», должны загрузить небезопасные приложения с фишинговых сайтов, что инициирует процесс установки вредоносного ПО.
Поддельные приложения и фишинговые домены
Вредоносные приложения, маскирующиеся под инструменты CRM для сотрудников, распространяются через сеть обманных доменов. Эти приложения-дропперы ловко обходят обнаружение, манипулируя ZIP-файлами и обходя средства защиты. Жертвам предлагается зарегистрировать учетную запись и установить поддельное обновление приложения, якобы для «защиты своего телефона». Затем предполагаемое обновление доставляется через поддельный интерфейс Google Play Store, завершая развертывание вредоносного ПО.
Использование функций доступности для вредоносных действий
Как и в предыдущих итерациях, приложение AppLite Banker злоупотребляет разрешениями Android Accessibility Services. Этот доступ позволяет ему накладывать экраны, самостоятельно предоставлять разрешения и выполнять другие вредоносные действия.
Основные функции включают в себя:
- Кража учетных данных Google с помощью наложений на экран.
- Изменение настроек устройства, таких как яркость экрана и приложения по умолчанию.
Расширенный контроль над зараженными устройствами
В последней версии представлены функции, повышающие уровень угрозы, в том числе:
- Блокировка вызовов и скрытие SMS-сообщений на основании инструкций удаленного сервера.
- Предоставление поддельных страниц входа в 172 банка, криптовалютных кошельков и социальных сетей, таких как Facebook и Telegram.
- Включение регистрации нажатий клавиш, кражи SMS, переадресации вызовов и виртуальных сетевых вычислений (VNC) для удаленного управления устройствами.
Глобальная целевая аудитория
Кампания, по-видимому, нацелена на пользователей из разных регионов, особенно на тех, кто владеет такими языками, как английский, испанский, русский, французский, немецкий, итальянский и португальский.
Проактивная защита – это ключ
Учитывая сложную природу и далеко идущие последствия этой угрозы, внедрение надежных мер защиты имеет решающее значение. Пользователи должны проявлять осторожность при получении непрошеных предложений о работе или подсказок установить внешние приложения. Сохранение бдительности и уделение первостепенного внимания мобильной безопасности может помочь предотвратить потенциальные потери данных и финансов.
