Phần mềm độc hại AppLite Banker Mobile

Các chuyên gia an ninh mạng đã phát hiện ra một chương trình lừa đảo tinh vi nhằm mục đích phân phối một biến thể cập nhật của Trojan ngân hàng Antidot. Hoạt động như một chiến dịch lừa đảo di động (hoặc lừa đảo), những kẻ tấn công cải trang thành những người tuyển dụng cung cấp các cơ hội việc làm hấp dẫn.

Việc làm cung cấp che giấu ý định xấu

Đóng vai trò là một phần của quá trình tuyển dụng hợp pháp, kẻ tấn công lừa nạn nhân tải xuống một ứng dụng gian lận. Ứng dụng đe dọa này đóng vai trò như một dropper, đưa biến thể mới của Antidot Banker vào thiết bị của nạn nhân dưới dạng phần mềm hợp pháp.

Giới thiệu AppLite Banker: Một mối đe dọa trá hình

Phần mềm độc hại được cập nhật, được các nhà nghiên cứu bảo mật đặt tên mã là AppLite Banker, tự hào có các khả năng tiên tiến. Nó có thể trích xuất thông tin xác thực mở khóa thiết bị như mã PIN, mẫu hoặc mật khẩu và điều khiển từ xa các thiết bị bị nhiễm. Các tính năng này phản ánh các chiến thuật được thấy trong các mối đe dọa tương tự như TrickMo.

Kỹ thuật xã hội và chương trình việc làm

Kẻ tấn công sử dụng các chiến thuật kỹ thuật xã hội để dụ nạn nhân bằng những lời hứa về cơ hội việc làm béo bở. Ví dụ, một chiến dịch lừa đảo vào tháng 9 năm 2024 đã mạo danh một công ty Canada, Teximus Technologies, tuyên bố cung cấp các vai trò dịch vụ khách hàng từ xa với mức lương theo giờ hấp dẫn và tiềm năng phát triển sự nghiệp. Các nạn nhân tham gia với những 'người tuyển dụng' này được hướng dẫn tải xuống các ứng dụng không an toàn từ các trang web lừa đảo, khởi tạo quá trình cài đặt phần mềm độc hại.

Ứng dụng giả mạo và tên miền lừa đảo

Các ứng dụng có hại, ngụy trang thành công cụ CRM của nhân viên, được phân phối qua mạng lưới các tên miền lừa đảo. Các ứng dụng dropper này khéo léo tránh bị phát hiện bằng cách thao túng các tệp ZIP và bỏ qua các biện pháp phòng thủ bảo mật. Nạn nhân được nhắc đăng ký tài khoản và cài đặt bản cập nhật ứng dụng giả mạo, bề ngoài là để 'bảo vệ điện thoại của họ'. Bản cập nhật được cho là sau đó được phân phối qua giao diện Cửa hàng Google Play giả mạo, hoàn tất việc triển khai phần mềm độc hại.

Lợi dụng các tính năng trợ năng cho các hoạt động có hại

Giống như các phiên bản trước, ứng dụng AppLite Banker lạm dụng quyền của Dịch vụ trợ năng Android. Quyền truy cập này cho phép ứng dụng phủ màn hình, tự cấp quyền và thực hiện các hoạt động có hại khác.

Các chức năng chính bao gồm:

• Đánh cắp thông tin tài khoản Google thông qua lớp phủ màn hình.
• Thay đổi cài đặt thiết bị như độ sáng màn hình và ứng dụng mặc định.

Mở rộng quyền kiểm soát đối với các thiết bị bị nhiễm

Phiên bản mới nhất giới thiệu các tính năng làm tăng mức độ đe dọa, bao gồm:

• Chặn cuộc gọi và ẩn tin nhắn SMS dựa trên hướng dẫn của máy chủ từ xa.
• Cung cấp các trang đăng nhập giả mạo cho 172 ngân hàng, ví tiền điện tử và các nền tảng truyền thông xã hội như Facebook và Telegram.
• Cho phép ghi lại thao tác phím, đánh cắp tin nhắn SMS, chuyển tiếp cuộc gọi và Mạng máy tính ảo (VNC) để điều khiển thiết bị từ xa.

Đối tượng mục tiêu toàn cầu

Chiến dịch này dường như nhắm tới người dùng ở nhiều khu vực khác nhau, đặc biệt là những người thành thạo các ngôn ngữ như tiếng Anh, tiếng Tây Ban Nha, tiếng Nga, tiếng Pháp, tiếng Đức, tiếng Ý và tiếng Bồ Đào Nha.

Phòng thủ chủ động là chìa khóa

Với bản chất tinh vi và tác động sâu rộng của mối đe dọa này, việc triển khai các biện pháp bảo vệ mạnh mẽ là rất quan trọng. Người dùng nên thận trọng khi nhận được lời mời làm việc không mong muốn hoặc lời nhắc cài đặt ứng dụng bên ngoài. Luôn cảnh giác và ưu tiên bảo mật di động có thể giúp ngăn ngừa tổn thất dữ liệu và tài chính tiềm ẩn.