AppLite Banker 行動惡意軟體

網路安全專家發現了一種複雜的網路釣魚計劃，旨在傳播 Antidot 銀行木馬的更新變種。作為行動網路釣魚（或釣魚）活動，攻擊者將自己偽裝成提供誘人工作機會的招募人員。

隱藏邪惡意圖的工作機會

作為合法招聘過程的一部分，攻擊者欺騙受害者下載欺詐性應用程式。這種威脅應用程式充當植入程序，以合法軟體的幌子將 Antidot Banker 的新變體傳送到受害者的設備。

AppLite Banker 簡介：變相的威脅

安全研究人員將更新後的惡意軟體代號為 AppLite Banker，擁有先進的功能。它可以提取裝置解鎖憑證，例如 PIN、圖案或密碼，並遠端控制受感染的裝置。這些功能與 TrickMo 等類似威脅中的策略相呼應。

社會工程和工作計劃

攻擊者採用社會工程策略，透過承諾提供豐厚的工作機會來引誘受害者。例如，2024 年 9 月的網路釣魚活動冒充了一家加拿大公司 Teximus Technologies，聲稱提供遠端客戶服務職位，具有有吸引力的時薪和職業發展潛力。與這些「招募者」接觸的受害者被引導從網路釣魚網站下載不安全的應用程序，從而啟動惡意軟體安裝過程。

虛假應用程式和網路釣魚域名

這些有害應用程式偽裝成員工 CRM 工具，透過欺騙性網域網路進行分發。這些植入式應用程式透過操縱 ZIP 檔案並繞過安全防禦來巧妙地逃避偵測。受害者會被提示註冊帳戶並安裝虛假的應用程式更新，表面上是為了「保護他們的手機」。然後，所謂的更新會透過假冒的 Google Play 商店介面進行傳遞，從而完成惡意軟體的部署。

利用輔助功能進行有害活動

與先前的迭代一樣，AppLite Banker 應用程式濫用 Android Accessibility Services 權限。此存取權限使其能夠覆蓋螢幕、自行授予權限以及執行其他有害活動。

主要功能包括：

• 透過螢幕覆蓋竊取 Google 帳戶憑證。
• 修改設備設置，例如螢幕亮度和預設應用程式。

擴大對受感染設備的控制

最新版本引入了提高其威脅等級的功能，包括：

• 根據遠端伺服器指令阻止呼叫並隱藏簡訊。
• 為 172 家銀行、加密貨幣錢包以及 Facebook 和 Telegram 等社群媒體平台提供假登入頁面。
• 支援鍵盤記錄、簡訊竊取、呼叫轉移和虛擬網路運算 (VNC) 來遠端操作設備。

全球目標受眾

該活動似乎針對不同地區的用戶，特別是那些精通英語、西班牙語、俄語、法語、德語、義大利語和葡萄牙語等語言的用戶。

主動防禦是關鍵

鑑於這種威脅的複雜性和深遠影響，實施強有力的保護措施至關重要。用戶在收到主動提供的工作機會或安裝外部應用程式的提示時應謹慎行事。保持警惕並優先考慮行動安全有助於防止潛在的數據和財務損失。