AppLite Banker Mobile Malware
Експерти по киберсигурност разкриха сложна схема за фишинг, насочена към разпространение на актуализиран вариант на банковия троянски кон Antidot. Действайки като мобилна фишинг (или мишинг) кампания, нападателите се маскират като вербовчици, предлагащи примамливи възможности за работа.
Съдържание
Оферти за работа, прикриващи зли намерения
Представяйки се за част от легитимен процес на набиране на персонал, нападателите подмамват жертвите да изтеглят измамно приложение. Това заплашително приложение служи като капкомер, доставяйки новия вариант на Antidot Banker на устройството на жертвата под прикритието на легитимен софтуер.
Представяме ви AppLite Banker: A Threat in Disguise
Актуализираният зловреден софтуер, наречен AppLite Banker от изследователи по сигурността, може да се похвали с разширени възможности. Той може да извлече идентификационни данни за отключване на устройство, като ПИН кодове, шаблони или пароли и дистанционно да поеме контрол над заразените устройства. Тези функции отразяват тактики, наблюдавани при подобни заплахи като TrickMo.
Социално инженерство и схеми за работа
Нападателите използват тактики за социално инженерство, за да примамят жертвите с обещания за доходоносни възможности за работа. Например фишинг кампания от септември 2024 г. се представя за канадска компания, Teximus Technologies, твърдейки, че предлага роли за дистанционно обслужване на клиенти с атрактивни почасови заплати и потенциал за кариерно израстване. Жертвите, ангажирани с тези „вербовчици“, се насочват да изтеглят опасни приложения от фишинг сайтове, инициирайки процеса на инсталиране на зловреден софтуер.
Фалшиви приложения и фишинг домейни
Вредните приложения, маскирани като CRM инструменти за служители, се разпространяват чрез мрежа от измамни домейни. Тези приложения за капкомер умело избягват откриването, като манипулират ZIP файлове и заобикалят защитите за сигурност. Жертвите са подканени да регистрират акаунт и да инсталират фалшива актуализация на приложението, уж за да „пазят телефона си защитен“. След това предполагаемата актуализация се доставя чрез фалшив интерфейс на Google Play Store, завършвайки внедряването на зловреден софтуер.
Използване на функциите за достъпност за вредни дейности
Както при предишните итерации, приложението AppLite Banker злоупотребява с разрешенията на услугите за достъпност на Android. Този достъп му позволява да наслагва екрани, да дава разрешения за себе си и да извършва други вредни дейности.
Ключовите функции включват:
- Кражба на идентификационни данни за акаунт в Google чрез наслагвания на екрана.
- Промяна на настройките на устройството, като яркост на екрана и приложения по подразбиране.
Разширен контрол върху заразените устройства
Последната версия въвежда функции, които повишават нивото на заплаха, включително:
- Блокиране на обаждания и скриване на SMS съобщения въз основа на инструкции от отдалечен сървър.
- Обслужване на фалшиви страници за вход за 172 банки, портфейли за криптовалута и социални медийни платформи като Facebook и Telegram.
- Разрешаване на записване на клавиатури, кражба на SMS, пренасочване на повиквания и изчислителна виртуална мрежа (VNC) за дистанционно манипулиране на устройства.
Глобална целева аудитория
Изглежда, че кампанията е насочена към потребители в различни региони, особено тези, които владеят езици като английски, испански, руски, френски, немски, италиански и португалски.
Проактивната защита е ключова
Като се има предвид сложното естество и широкообхватното въздействие на тази заплаха, прилагането на стабилни мерки за защита е от решаващо значение. Потребителите трябва да бъдат внимателни, когато получават непоискани предложения за работа или подкани да инсталират външни приложения. Оставането на бдителност и приоритизирането на мобилната сигурност може да помогне за предотвратяване на потенциални данни и финансови загуби.
