มัลแวร์มือถือ AppLite Banker

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแผนการฟิชชิ่งที่ซับซ้อนซึ่งมุ่งเป้าไปที่การกระจายโทรจัน Antidot เวอร์ชันอัปเดต โดยดำเนินการเป็นแคมเปญฟิชชิ่ง (หรือมิชชิ่ง) บนมือถือ ผู้โจมตีปลอมตัวเป็นผู้รับสมัครที่เสนอโอกาสในการทำงานที่น่าดึงดูด

ข้อเสนองานปกปิดเจตนาชั่วร้าย

ผู้โจมตีแอบอ้างตัวเป็นส่วนหนึ่งของกระบวนการรับสมัครที่ถูกต้องตามกฎหมาย โดยหลอกล่อเหยื่อให้ดาวน์โหลดแอปพลิเคชันปลอม แอปพลิเคชันที่คุกคามนี้ทำหน้าที่เป็นตัวส่งซอฟต์แวร์ Antidot Banker เวอร์ชันใหม่ไปยังอุปกรณ์ของเหยื่อภายใต้หน้ากากของซอฟต์แวร์ที่ถูกกฎหมาย

ขอแนะนำ AppLite Banker: ภัยคุกคามที่แฝงตัวอยู่

มัลแวร์ที่อัปเดตแล้ว ซึ่งมีชื่อรหัสว่า AppLite Banker โดยนักวิจัยด้านความปลอดภัย มีคุณสมบัติขั้นสูง เช่น สามารถดึงข้อมูลรับรองการปลดล็อกอุปกรณ์ เช่น PIN รูปแบบ หรือรหัสผ่าน และเข้าควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกล คุณสมบัติเหล่านี้สะท้อนถึงกลวิธีที่พบในภัยคุกคามที่คล้ายกัน เช่น TrickMo

วิศวกรรมสังคมและโครงการการจ้างงาน

ผู้โจมตีใช้กลวิธีทางวิศวกรรมสังคมเพื่อล่อเหยื่อด้วยการสัญญาว่าจะให้โอกาสในการทำงานที่มีรายได้ดี ตัวอย่างเช่น แคมเปญฟิชชิ่งในเดือนกันยายน 2024 แอบอ้างเป็นบริษัท Teximus Technologies ของแคนาดา โดยอ้างว่าเสนองานบริการลูกค้าระยะไกลพร้อมค่าจ้างรายชั่วโมงที่น่าดึงดูดและศักยภาพในการเติบโตในอาชีพการงาน เหยื่อที่ติดต่อกับ "ผู้จัดหางาน" เหล่านี้จะถูกสั่งให้ดาวน์โหลดแอปพลิเคชันที่ไม่ปลอดภัยจากเว็บไซต์ฟิชชิ่ง ซึ่งเป็นการเริ่มต้นกระบวนการติดตั้งมัลแวร์

แอปพลิเคชั่นปลอมและโดเมนฟิชชิ่ง

แอปพลิเคชันที่เป็นอันตรายซึ่งแอบอ้างว่าเป็นเครื่องมือ CRM ของพนักงานนั้นถูกเผยแพร่ผ่านเครือข่ายโดเมนที่หลอกลวง แอปพลิเคชันดรอปเปอร์เหล่านี้หลบเลี่ยงการตรวจจับอย่างชาญฉลาดโดยการจัดการไฟล์ ZIP และหลีกเลี่ยงการป้องกันความปลอดภัย เหยื่อจะได้รับแจ้งให้ลงทะเบียนบัญชีและติดตั้งการอัปเดตแอปพลิเคชันปลอม โดยอ้างว่าเพื่อ "ปกป้องโทรศัพท์ของตน" จากนั้นการอัปเดตที่อ้างว่าทำขึ้นจะถูกส่งผ่านอินเทอร์เฟซ Google Play Store ปลอม ซึ่งจะทำให้การแพร่กระจายของมัลแวร์เสร็จสมบูรณ์

การใช้ประโยชน์จากคุณลักษณะการเข้าถึงสำหรับกิจกรรมที่เป็นอันตราย

เช่นเดียวกับเวอร์ชันก่อนหน้า แอปพลิเคชัน AppLite Banker จะละเมิดสิทธิ์ของ Android Accessibility Services การเข้าถึงนี้ทำให้สามารถซ้อนหน้าจอ อนุญาตสิทธิ์ด้วยตนเอง และดำเนินกิจกรรมที่เป็นอันตรายอื่นๆ ได้

ฟังก์ชันหลักๆ มีดังนี้:

• การขโมยข้อมูลรับรองบัญชี Google โดยการซ้อนหน้าจอ
• การแก้ไขการตั้งค่าอุปกรณ์ เช่น ความสว่างหน้าจอและแอปเริ่มต้น

การควบคุมขยายอุปกรณ์ที่ติดไวรัส

เวอร์ชันล่าสุดแนะนำฟีเจอร์ที่เพิ่มระดับภัยคุกคาม รวมถึง:

• การบล็อคการโทรและซ่อนข้อความ SMS ตามคำสั่งของเซิร์ฟเวอร์ระยะไกล
• ให้บริการหน้าเข้าสู่ระบบปลอมสำหรับธนาคาร 172 แห่ง กระเป๋าเงินสกุลเงินดิจิทัล และแพลตฟอร์มโซเชียลมีเดียเช่น Facebook และ Telegram
• เปิดใช้งานการบันทึกการพิมพ์ การขโมย SMS การส่งต่อสาย และการประมวลผลเครือข่ายเสมือน (VNC) เพื่อจัดการอุปกรณ์จากระยะไกล

กลุ่มเป้าหมายทั่วโลก

แคมเปญนี้ดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้ในหลายภูมิภาค โดยเฉพาะผู้ที่เชี่ยวชาญภาษาต่างๆ เช่น อังกฤษ สเปน รัสเซีย ฝรั่งเศส เยอรมัน อิตาลี และโปรตุเกส

การป้องกันเชิงรุกเป็นสิ่งสำคัญ

เนื่องจากลักษณะที่ซับซ้อนและผลกระทบในวงกว้างของภัยคุกคามนี้ การใช้มาตรการป้องกันที่แข็งแกร่งจึงมีความสำคัญอย่างยิ่ง ผู้ใช้ควรใช้ความระมัดระวังเมื่อได้รับข้อเสนองานที่ไม่ได้ร้องขอหรือคำแนะนำให้ติดตั้งแอปพลิเคชันภายนอก การเฝ้าระวังและให้ความสำคัญกับการรักษาความปลอดภัยมือถือสามารถช่วยป้องกันการสูญเสียข้อมูลและการเงินที่อาจเกิดขึ้นได้