AppLite Banker Mobile Malware
Stručnjaci za kibernetičku sigurnost otkrili su sofisticiranu shemu krađe identiteta s ciljem distribucije ažurirane varijante bankovnog Trojana Antidot. Djelujući kao mobilna phishing (ili mishing) kampanja, napadači se maskiraju u regrute koji nude primamljive prilike za posao.
Sadržaj
Ponude za posao prikrivanja zle namjere
Predstavljajući se kao dio legitimnog procesa zapošljavanja, napadači prevarom navode žrtve da preuzmu lažnu aplikaciju. Ova prijeteća aplikacija služi kao kapaljka, isporučujući novu varijantu Antidot Bankera na žrtvin uređaj pod krinkom legitimnog softvera.
Predstavljamo AppLite Bankar: Prijetnja pod maskom
Ažurirani zlonamjerni softver, koji su sigurnosni istraživači nazvali AppLite Banker, može se pohvaliti naprednim mogućnostima. Može izdvojiti vjerodajnice za otključavanje uređaja kao što su PIN-ovi, uzorci ili lozinke i daljinski preuzeti kontrolu nad zaraženim uređajima. Ove značajke ponavljaju taktike viđene u sličnim prijetnjama kao što je TrickMo.
Društveni inženjering i sheme zapošljavanja
Napadači koriste taktike socijalnog inženjeringa kako bi namamili žrtve obećanjima unosnih radnih mjesta. Na primjer, kampanja krađe identiteta iz rujna 2024. oponašala je kanadsku tvrtku Teximus Technologies, tvrdeći da nudi uloge u službi za korisnike na daljinu s atraktivnim plaćama po satu i potencijalom za rast u karijeri. Žrtve koje stupaju u kontakt s tim 'regruterima' upućuju se na preuzimanje nesigurnih aplikacija sa stranica za krađu identiteta, čime se pokreće proces instalacije zlonamjernog softvera.
Lažne aplikacije i phishing domene
Štetne aplikacije, maskirane kao CRM alati za zaposlenike, distribuiraju se putem mreže varljivih domena. Ove dropper aplikacije vješto izbjegavaju otkrivanje manipulirajući ZIP datotekama i zaobilazeći sigurnosne obrane. Od žrtava se traži da registriraju račun i instaliraju lažno ažuriranje aplikacije, navodno kako bi 'čuvali svoj telefon zaštićenim'. Pretpostavljeno ažuriranje zatim se isporučuje putem krivotvorenog sučelja trgovine Google Play, čime se dovršava implementacija zlonamjernog softvera.
Iskorištavanje značajki pristupačnosti za štetne aktivnosti
Kao i kod prethodnih iteracija, aplikacija AppLite Banker zlorabi dopuštenja usluga pristupačnosti Androida. Taj mu pristup omogućuje prekrivanje zaslona, samododjeljivanje dopuštenja i izvođenje drugih štetnih aktivnosti.
Ključne funkcije uključuju:
- Krađa vjerodajnica Google računa putem preklapanja zaslona.
- Promjena postavki uređaja kao što su svjetlina zaslona i zadane aplikacije.
Proširena kontrola nad zaraženim uređajima
Najnovija verzija uvodi značajke koje povećavaju razinu prijetnje, uključujući:
- Blokiranje poziva i skrivanje SMS poruka na temelju uputa udaljenog poslužitelja.
- Posluživanje lažnih stranica za prijavu za 172 banke, novčanike za kriptovalute i platforme društvenih medija kao što su Facebook i Telegram.
- Omogućavanje keylogginga, SMS krađe, prosljeđivanja poziva i Virtual Network Computing (VNC) za daljinsko upravljanje uređajima.
Globalna ciljna publika
Čini se da kampanja cilja na korisnike u različitim regijama, posebno one koji dobro govore jezike kao što su engleski, španjolski, ruski, francuski, njemački, talijanski i portugalski.
Proaktivna obrana je ključna
S obzirom na sofisticiranu prirodu i dalekosežni učinak ove prijetnje, provedba snažnih zaštitnih mjera je ključna. Korisnici bi trebali biti oprezni kada primaju neželjene ponude za posao ili upute za instaliranje vanjskih aplikacija. Budnost i davanje prioriteta mobilnoj sigurnosti mogu spriječiti potencijalne gubitke podataka i financijske gubitke.
