AppLite Banker 移动恶意软件

网络安全专家发现了一个复杂的网络钓鱼计划，旨在传播 Antidot 银行木马的最新版本。攻击者以移动网络钓鱼（或邮件钓鱼）活动的形式进行操作，伪装成提供诱人工作机会的招聘人员。

隐瞒恶意的工作机会

攻击者伪装成合法招聘流程的一部分，诱骗受害者下载欺诈性应用程序。此威胁性应用程序充当植入程序，以合法软件的名义将 Antidot Banker 的新变种传送到受害者的设备。

AppLite Banker 介绍：伪装的威胁

安全研究人员将更新后的恶意软件命名为 AppLite Banker，它拥有高级功能。它可以提取设备解锁凭据（如 PIN、图案或密码），并远程控制受感染的设备。这些功能与 TrickMo 等类似威胁中的策略相似。

社会工程和就业计划

攻击者利用社会工程手段，以高薪工作机会为诱饵引诱受害者。例如，2024 年 9 月的一次网络钓鱼活动冒充了加拿大公司 Teximus Technologies，声称提供远程客户服务职位，时薪优厚，职业发展潜力大。与这些“招聘人员”接触的受害者会被引导从钓鱼网站下载不安全的应用程序，从而启动恶意软件的安装过程。

虚假应用程序和钓鱼域名

这些有害应用程序伪装成员工 CRM 工具，通过欺骗性域名网络进行分发。这些植入程序巧妙地通过操纵 ZIP 文件和绕过安全防御来逃避检测。受害者被提示注册一个帐户并安装一个虚假的应用程序更新，表面上是为了“保护他们的手机”。然后，所谓的更新通过伪造的 Google Play 商店界面提供，完成恶意软件的部署。

利用无障碍功能进行有害活动

与之前的版本一样，AppLite Banker 应用程序滥用了 Android 辅助服务权限。此访问权限使其能够覆盖屏幕、自行授予权限以及执行其他有害活动。

主要功能包括：

• 通过屏幕覆盖窃取 Google 帐户凭证。
• 修改设备设置，例如屏幕亮度和默认应用程序。

扩大对受感染设备的控制

最新版本引入了增强其威胁级别的功能，其中包括：

• 根据远程服务器指令阻止呼叫并隐藏短信。
• 为 172 家银行、加密货币钱包以及 Facebook 和 Telegram 等社交媒体平台提供虚假登录页面。
• 启用键盘记录、短信盗窃、呼叫转移和虚拟网络计算 (VNC) 来远程操作设备。

全球目标受众

该活动似乎针对不同地区的用户，特别是那些精通英语、西班牙语、俄语、法语、德语、意大利语和葡萄牙语的用户。

主动防御是关键

鉴于这一威胁的复杂性和深远影响，实施强有力的保护措施至关重要。用户在收到未经请求的工作邀请或安装外部应用程序的提示时应谨慎行事。保持警惕并优先考虑移动安全有助于防止潜在的数据和财务损失。