Mobilný malvér AppLite Banker
Odborníci na kybernetickú bezpečnosť odhalili sofistikovanú phishingovú schému zameranú na distribúciu aktualizovaného variantu antidot banking Trojan. Útočníci, ktorí fungujú ako mobilná phishingová (alebo mishingová) kampaň, sa maskujú za náborárov, ktorí ponúkajú lákavé pracovné príležitosti.
Obsah
Pracovné ponuky skrývajúce zlé úmysly
Útočníci, ktorí vystupujú ako súčasť legitímneho náborového procesu, oklamú obete, aby si stiahli podvodnú aplikáciu. Táto hrozivá aplikácia slúži ako kvapkadlo, ktoré dodáva nový variant Antidot Banker do zariadenia obete pod rúškom legitímneho softvéru.
Predstavujeme AppLite Banker: Prestrojená hrozba
Aktualizovaný malvér s kódovým označením AppLite Banker bezpečnostnými výskumníkmi sa môže pochváliť pokročilými funkciami. Dokáže extrahovať prihlasovacie údaje na odomknutie zariadenia, ako sú kódy PIN, vzory alebo heslá, a na diaľku prevziať kontrolu nad infikovanými zariadeniami. Tieto funkcie odrážajú taktiku, ktorú možno vidieť pri podobných hrozbách, ako je TrickMo.
Sociálne inžinierstvo a pracovné schémy
Útočníci využívajú taktiku sociálneho inžinierstva, aby nalákali obete prísľubmi lukratívnych pracovných príležitostí. Napríklad phishingová kampaň zo septembra 2024 sa vydávala za kanadskú spoločnosť Teximus Technologies, ktorá tvrdila, že ponúka úlohy vzdialeného zákazníckeho servisu s atraktívnymi hodinovými mzdami a potenciálom kariérneho rastu. Obete, ktoré sú v kontakte s týmito „náborovými pracovníkmi“, sú nasmerované na stiahnutie nebezpečných aplikácií z phishingových stránok, čím sa spustí proces inštalácie škodlivého softvéru.
Falošné aplikácie a phishingové domény
Škodlivé aplikácie, ktoré sa tvária ako zamestnanecké nástroje CRM, sú distribuované prostredníctvom siete podvodných domén. Tieto aplikácie typu dropper sa šikovne vyhýbajú detekcii manipuláciou so súbormi ZIP a obchádzaním bezpečnostných brán. Obete sú vyzvané, aby si zaregistrovali účet a nainštalovali falošnú aktualizáciu aplikácie, zdanlivo, aby „udržali svoj telefón chránený“. Predpokladaná aktualizácia je potom doručená cez falošné rozhranie obchodu Google Play, čím sa dokončí nasadenie malvéru.
Využívanie funkcií dostupnosti na škodlivé činnosti
Rovnako ako v predchádzajúcich iteráciách, aplikácia AppLite Banker zneužíva povolenia služby Android Accessibility Services. Tento prístup mu umožňuje prekrývať obrazovky, udeľovať povolenia a vykonávať ďalšie škodlivé činnosti.
Medzi kľúčové funkcie patrí:
- Krádež poverení účtu Google prostredníctvom prekrytí obrazovky.
- Úprava nastavení zariadenia, ako je jas obrazovky a predvolené aplikácie.
Rozšírená kontrola nad infikovanými zariadeniami
Najnovšia verzia prináša funkcie, ktoré zvyšujú úroveň ohrozenia, vrátane:
- Blokovanie hovorov a skrytie SMS správ na základe pokynov vzdialeného servera.
- Poskytovanie falošných prihlasovacích stránok pre 172 bánk, kryptomenové peňaženky a platformy sociálnych médií ako Facebook a Telegram.
- Povolenie keylogging, SMS krádeže, presmerovanie hovorov a Virtual Network Computing (VNC) na vzdialenú manipuláciu so zariadeniami.
Globálne cieľové publikum
Zdá sa, že kampaň je zacielená na používateľov v rôznych regiónoch, najmä na tých, ktorí ovládajú jazyky ako angličtina, španielčina, ruština, francúzština, nemčina, taliančina a portugalčina.
Proaktívna obrana je kľúčová
Vzhľadom na sofistikovanú povahu a ďalekosiahly dosah tejto hrozby je nevyhnutné zaviesť robustné ochranné opatrenia. Používatelia by mali byť opatrní pri prijímaní nevyžiadaných pracovných ponúk alebo výziev na inštaláciu externých aplikácií. Zostať ostražití a uprednostňovať mobilné zabezpečenie môže pomôcť zabrániť potenciálnym stratám údajov a finančným stratám.
