Mobilní malware AppLite Banker
Odborníci na kybernetickou bezpečnost odhalili sofistikované phishingové schéma zaměřené na distribuci aktualizované varianty bankovního trojana Antidot. Útočníci, kteří fungují jako mobilní phishingová (nebo mishing) kampaň, se maskují jako náboráři nabízející lákavé pracovní příležitosti.
Obsah
Nabídka práce skrývání zlých úmyslů
Útočníci, kteří vystupují jako součást legitimního náborového procesu, přimějí oběti ke stažení podvodné aplikace. Tato hrozivá aplikace slouží jako kapátko a doručuje novou variantu Antidot Banker do zařízení oběti pod rouškou legitimního softwaru.
Představujeme AppLite Banker: Přestrojená hrozba
Aktualizovaný malware s kódovým označením AppLite Banker bezpečnostními výzkumníky se může pochlubit pokročilými funkcemi. Dokáže extrahovat přihlašovací údaje pro odemknutí zařízení, jako jsou kódy PIN, vzory nebo hesla, a vzdáleně převzít kontrolu nad infikovanými zařízeními. Tyto funkce odrážejí taktiku, kterou lze vidět u podobných hrozeb, jako je TrickMo.
Sociální inženýrství a schémata práce
Útočníci používají taktiku sociálního inženýrství, aby nalákali oběti příslibem lukrativních pracovních příležitostí. Například phishingová kampaň ze září 2024 předstírala kanadskou společnost Teximus Technologies, která tvrdila, že nabízí role vzdáleného zákaznického servisu s atraktivní hodinovou mzdou a potenciálem kariérního růstu. Oběti, které se zapojí do kontaktu s těmito „náboráři“, jsou nasměrovány ke stažení nebezpečných aplikací z phishingových stránek, čímž se spustí proces instalace malwaru.
Falešné aplikace a phishingové domény
Škodlivé aplikace, které se maskují jako zaměstnanecké nástroje CRM, jsou distribuovány prostřednictvím sítě podvodných domén. Tyto kapátkové aplikace se chytře vyhýbají detekci tím, že manipulují se soubory ZIP a obcházejí bezpečnostní obranu. Oběti jsou vyzvány, aby si zaregistrovaly účet a nainstalovaly falešnou aktualizaci aplikace, údajně proto, aby „chránily svůj telefon“. Předpokládaná aktualizace je poté doručena prostřednictvím padělaného rozhraní Obchodu Google Play, čímž se dokončí nasazení malwaru.
Využívání funkcí usnadnění pro škodlivé činnosti
Stejně jako u předchozích iterací zneužívá aplikace AppLite Banker oprávnění služby Android Accessibility Services. Tento přístup mu umožňuje překrývat obrazovky, samoudělovat oprávnění a provádět další škodlivé činnosti.
Mezi klíčové funkce patří:
- Krádež přihlašovacích údajů k účtu Google prostřednictvím překryvů obrazovky.
- Úprava nastavení zařízení, jako je jas obrazovky a výchozí aplikace.
Rozšířená kontrola nad infikovanými zařízeními
Nejnovější verze přináší funkce, které zvyšují úroveň ohrožení, včetně:
- Blokování hovorů a skrývání SMS zpráv na základě pokynů vzdáleného serveru.
- Poskytování falešných přihlašovacích stránek pro 172 bank, kryptoměnové peněženky a platformy sociálních médií, jako je Facebook a Telegram.
- Povolení keylogging, SMS krádeže, přesměrování hovorů a Virtual Network Computing (VNC) pro vzdálenou manipulaci se zařízeními.
Globální cílové publikum
Zdá se, že kampaň cílí na uživatele v různých regionech, zejména na ty, kteří ovládají jazyky, jako je angličtina, španělština, ruština, francouzština, němčina, italština a portugalština.
Proaktivní obrana je klíčová
Vzhledem k sofistikované povaze a dalekosáhlému dopadu této hrozby je zásadní implementace robustních ochranných opatření. Uživatelé by měli být opatrní, když obdrží nevyžádané pracovní nabídky nebo výzvy k instalaci externích aplikací. Zůstat ostražitý a upřednostňovat mobilní zabezpečení může pomoci předejít potenciálním datovým a finančním ztrátám.
