AppLite Banker Mobile Malware
Cybersäkerhetsexperter har upptäckt ett sofistikerat nätfiskesystem som syftar till att distribuera en uppdaterad variant av Antidot-banktrojanen. Angriparna fungerar som en mobil nätfiskekampanj (eller mishing), och de förkläder sig till rekryterare som erbjuder lockande jobbmöjligheter.
Innehållsförteckning
Jobberbjudanden som döljer onda avsikter
Angriparna poserar som en del av en legitim rekryteringsprocess och lurar offren att ladda ner en bedräglig applikation. Denna hotfulla applikation fungerar som en droppare och levererar den nya varianten av Antidot Banker till offrets enhet under sken av legitim programvara.
Vi presenterar AppLite Banker: A Threat in Disguise
Den uppdaterade skadliga programvaran, kodnamnet AppLite Banker av säkerhetsforskare, har avancerade funktioner. Det kan extrahera enhetsupplåsningsuppgifter som PIN-koder, mönster eller lösenord och ta kontroll över infekterade enheter på distans. Dessa funktioner ekotaktik sett i liknande hot som TrickMo.
Socialteknik och jobbscheman
Angripare använder social ingenjörsteknik för att locka offer med löften om lukrativa jobbmöjligheter. Till exempel efterliknade en nätfiskekampanj i september 2024 ett kanadensiskt företag, Teximus Technologies, som påstod sig erbjuda tjänster på distans med kundtjänst med attraktiva timlöner och karriärtillväxtpotential. Offer som engagerar sig med dessa "rekryterare" uppmanas att ladda ner osäkra applikationer från nätfiskewebbplatser, vilket initierar installationsprocessen för skadlig programvara.
Falska applikationer och nätfiskedomäner
De skadliga applikationerna, som maskerar sig som anställdas CRM-verktyg, distribueras via ett nätverk av vilseledande domäner. Dessa droppappar undviker på ett smart sätt upptäckt genom att manipulera ZIP-filer och kringgå säkerhetsförsvar. Offren uppmanas att registrera ett konto och installera en falsk programuppdatering, skenbart för att "hålla sin telefon skyddad." Den förmodade uppdateringen levereras sedan via ett förfalskat gränssnitt i Google Play Butik, vilket slutför implementeringen av skadlig programvara.
Utnyttja tillgänglighetsfunktioner för skadliga aktiviteter
Som med tidigare iterationer missbrukar AppLite Banker-appen Android Accessibility Services-behörigheter. Denna åtkomst gör det möjligt för den att lägga över skärmar, själv ge behörigheter och utföra andra skadliga aktiviteter.
Nyckelfunktioner inkluderar:
- Att stjäla Google-kontouppgifter via skärmöverlagringar.
- Ändra enhetsinställningar som skärmens ljusstyrka och standardappar.
Utökad kontroll över infekterade enheter
Den senaste versionen introducerar funktioner som höjer dess hotnivå, inklusive:
- Blockera samtal och dölja SMS-meddelanden baserat på fjärrserverinstruktioner.
- Serverar falska inloggningssidor för 172 banker, cryptocurrency-plånböcker och sociala medieplattformar som Facebook och Telegram.
- Möjliggör tangentloggning, SMS-stöld, vidarekoppling av samtal och Virtual Network Computing (VNC) för att fjärrmanipulera enheter.
En global målgrupp
Kampanjen verkar rikta sig mot användare i olika regioner, särskilt de som är skickliga på språk som engelska, spanska, ryska, franska, tyska, italienska och portugisiska.
Proaktivt försvar är nyckeln
Med tanke på den sofistikerade karaktären och den långtgående effekten av detta hot är det avgörande att implementera robusta skyddsåtgärder. Användare bör vara försiktiga när de får oönskade jobberbjudanden eller uppmaningar om att installera externa applikationer. Att vara vaksam och prioritera mobil säkerhet kan hjälpa till att förhindra potentiella data och ekonomiska förluster.
