AppLite Banker Mobile Malware
Eksperter på nettsikkerhet har avdekket en sofistikert phishing-ordning som tar sikte på å distribuere en oppdatert variant av Antidot-banktrojaneren. Fungerer som en mobil phishing (eller mishing)-kampanje, og angriperne forkle seg som rekrutterere som tilbyr fristende jobbmuligheter.
Innholdsfortegnelse
Jobbtilbud som skjuler ond hensikt
Angriperne utgir seg for å være en del av en legitim rekrutteringsprosess, og lurer ofrene til å laste ned en uredelig applikasjon. Denne truende applikasjonen fungerer som en dropper, og leverer den nye varianten av Antidot Banker til offerets enhet under dekke av legitim programvare.
Vi introduserer AppLite Banker: A Threat in Disguise
Den oppdaterte skadevare, kodenavnet AppLite Banker av sikkerhetsforskere, har avanserte funksjoner. Den kan trekke ut enhetsopplåsningslegitimasjon som PIN-koder, mønstre eller passord og fjernkontroll over infiserte enheter. Disse funksjonene ekko taktikk sett i lignende trusler som TrickMo.
Sosialteknikk og jobbordninger
Angripere bruker sosial ingeniørtaktikk for å lokke ofre med løfter om lukrative jobbmuligheter. En phishing-kampanje i september 2024 utgjorde for eksempel et kanadisk selskap, Teximus Technologies, og hevdet å tilby eksterne kundeserviceroller med attraktive timelønninger og karrierevekstpotensial. Ofre som engasjerer seg med disse "rekruttererne" blir bedt om å laste ned usikre applikasjoner fra phishing-nettsteder, og starte installasjonsprosessen for skadelig programvare.
Falske applikasjoner og phishing-domener
De skadelige applikasjonene, som er maskert som ansattes CRM-verktøy, distribueres via et nettverk av villedende domener. Disse dropper-appene unngår på en smart måte oppdagelse ved å manipulere ZIP-filer og omgå sikkerhetsforsvar. Ofre blir bedt om å registrere en konto og installere en falsk programoppdatering, tilsynelatende for å "holde telefonen beskyttet." Den antatte oppdateringen leveres deretter gjennom et forfalsket Google Play Store-grensesnitt, og fullfører distribusjonen av skadelig programvare.
Utnyttelse av tilgjengelighetsfunksjoner for skadelige aktiviteter
Som med tidligere iterasjoner, misbruker AppLite Banker-appen Android Accessibility Services-tillatelser. Denne tilgangen lar den overlegge skjermer, selv gi tillatelser og utføre andre skadelige aktiviteter.
Nøkkelfunksjoner inkluderer:
- Å stjele Google-kontolegitimasjon via skjermoverlegg.
- Endre enhetsinnstillinger som skjermens lysstyrke og standardapper.
Utvidet kontroll over infiserte enheter
Den nyeste versjonen introduserer funksjoner som øker trusselnivået, inkludert:
- Blokkere anrop og skjule SMS-meldinger basert på instruksjoner for ekstern server.
- Serverer falske påloggingssider for 172 banker, kryptovaluta-lommebøker og sosiale medieplattformer som Facebook og Telegram.
- Aktivering av tastelogging, SMS-tyveri, viderekobling og Virtual Network Computing (VNC) for å fjernmanipulere enheter.
En global målgruppe
Kampanjen ser ut til å målrette mot brukere på tvers av ulike regioner, spesielt de som er dyktige på språk som engelsk, spansk, russisk, fransk, tysk, italiensk og portugisisk.
Proaktivt forsvar er nøkkelen
Gitt den sofistikerte naturen og den vidtrekkende virkningen av denne trusselen, er det avgjørende å implementere robuste beskyttelsestiltak. Brukere bør utvise forsiktighet når de mottar uønskede jobbtilbud eller spørsmål om å installere eksterne applikasjoner. Å være på vakt og prioritere mobilsikkerhet kan bidra til å forhindre potensielle data- og økonomiske tap.
