Programari maliciós mòbil AppLite Banker
Els experts en ciberseguretat han descobert un sofisticat esquema de pesca destinat a distribuir una variant actualitzada del troià bancari Antidot. Funcionant com una campanya de pesca mòbil (o mishing), els atacants es disfressen de reclutadors que ofereixen oportunitats laborals atractives.
Taula de continguts
Ofertes de feina que amaguen la mala intenció
Presentant-se com a part d'un procés de reclutament legítim, els atacants enganyen les víctimes perquè baixin una aplicació fraudulenta. Aquesta aplicació amenaçadora serveix com a comptagotes, lliurant la nova variant de l'Antidot Banker al dispositiu de la víctima sota l'aparença de programari legítim.
Presentació de l'AppLite Banker: una amenaça disfressada
El programari maliciós actualitzat, anomenat AppLite Banker pels investigadors de seguretat, compta amb capacitats avançades. Pot extreure credencials de desbloqueig del dispositiu com ara PIN, patrons o contrasenyes i prendre el control remot dels dispositius infectats. Aquestes característiques fan ressò de tàctiques vistes en amenaces similars com TrickMo.
Enginyeria Social i Plans de Treball
Els atacants utilitzen tàctiques d'enginyeria social per atraure les víctimes amb promeses d'oportunitats laborals lucratives. Per exemple, una campanya de pesca del setembre del 2024 es va suplantar a una empresa canadenca, Teximus Technologies, que va afirmar oferir funcions remotes d'atenció al client amb salaris per hores atractius i potencial de creixement professional. Les víctimes que interaccionen amb aquests "reclutadors" se'ls adreça a baixar aplicacions insegures dels llocs de pesca, iniciant el procés d'instal·lació de programari maliciós.
Aplicacions falses i dominis de pesca
Les aplicacions perjudicials, disfressades d'eines CRM dels empleats, es distribueixen mitjançant una xarxa de dominis enganyosos. Aquestes aplicacions de comptagotes evaden intel·ligentment la detecció manipulant fitxers ZIP i obviant les defenses de seguretat. Es demana a les víctimes que registrin un compte i instal·lin una actualització d'aplicació falsa, aparentment per "mantenir el seu telèfon protegit". Aleshores, la suposada actualització es lliura mitjançant una interfície falsificada de Google Play Store, completant el desplegament de programari maliciós.
Aprofitament de les funcions d'accessibilitat per a activitats nocives
Igual que amb les iteracions anteriors, l'aplicació AppLite Banker abusa dels permisos dels serveis d'accessibilitat d'Android. Aquest accés li permet superposar pantalles, autoconcedir permisos i realitzar altres activitats perjudicials.
Les funcionalitats clau inclouen:
- Robar les credencials del compte de Google mitjançant superposicions de pantalla.
- Modificació de la configuració del dispositiu, com ara la brillantor de la pantalla i les aplicacions predeterminades.
Control ampliat sobre dispositius infectats
L'última versió introdueix funcions que augmenten el seu nivell d'amenaça, com ara:
- Bloquejar trucades i amagar missatges SMS basats en instruccions del servidor remot.
- Ofereix pàgines d'inici de sessió falses per a 172 bancs, carteres de criptomoneda i plataformes de xarxes socials com Facebook i Telegram.
- Habilitació del registre de tecles, robatori d'SMS, desviament de trucades i Virtual Network Computing (VNC) per manipular dispositius de manera remota.
Un públic objectiu global
Sembla que la campanya s'adreça a usuaris de diverses regions, especialment a aquells que coneixen idiomes com l'anglès, l'espanyol, el rus, el francès, l'alemany, l'italià i el portuguès.
La defensa proactiva és clau
Donada la naturalesa sofisticada i l'impacte de gran abast d'aquesta amenaça, la implementació de mesures de protecció sòlides és fonamental. Els usuaris haurien de tenir precaució quan rebin ofertes de feina no sol·licitades o sol·licituds per instal·lar aplicacions externes. Mantenir-se vigilant i prioritzar la seguretat mòbil pot ajudar a prevenir possibles pèrdues financeres i de dades.
