Οι ερευνητές ασφαλείας της Zimperium εντόπισαν μια καμπάνια phishing για κινητά (γνωστή και ως mishing), που διανέμει μια νέα έκδοση του banking trojan Antidot.
Η Zimperium έχει ονομάσει τη νέα έκδοση του Android banking trojan Antidot, AppLite Banker. Αυτή η έκδοση επιτρέπει το ξεκλείδωμα της συσκευής που προστατεύεται με PIN (ή μοτίβο ή κωδικό πρόσβασης) και παίρνει τον έλεγχο των μολυσμένων συσκευών από απόσταση.
Πώς λειτουργεί η επίθεση;
“Οι δράστες παρουσιάστηκαν ως υπεύθυνοι προσλήψεων, προσελκύοντας ανυποψίαστα θύματα με προσφορές εργασίας“, δήλωσε ο ερευνητής του Zimperium zLabs, Vishnu Pratapagiri.
Δείτε επίσης: DroidBot: Android malware κλέβει credentials από banking apps
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Most Innovative Robots of CES 2025
“Στο πλαίσιο της ψεύτικης διαδικασίας πρόσληψης, η καμπάνια phishing εξαπατά τα θύματα να κατεβάσουν μια κακόβουλη εφαρμογή που λειτουργεί ως dropper, εγκαθιστώντας τελικά την ενημερωμένη έκδοση του Antidot Banker στη συσκευή του θύματος“.
Το Σεπτέμβριο του 2024, αρκετοί χρήστες είχαν αναφέρει στο Reddit ότι είχαν λάβει emails από μια καναδική εταιρεία, με την επωνυμία Teximus Technologies, σχετικά με μια θέση εργασίας (υπάλληλος εξυπηρέτησης πελατών εξ αποστάσεως).
Εάν το θύμα αλληλεπιδράσει με τον υποτιθέμενο recruiter, καλείται να κατεβάσει μια κακόβουλη εφαρμογή Android από μια σελίδα phishing. Αυτή η εφαρμογή λειτουργεί ως πρώτο στάδιο για τη διευκόλυνση της ανάπτυξης του κύριου κακόβουλου λογισμικού στη συσκευή, που είναι η νέα έκδοση του banking trojan Antidot, AppLite Banker.
Η Zimperium είπε ότι ανακάλυψε ένα δίκτυο ψεύτικων domains που χρησιμοποιούνται για τη διανομή των malware-laced APK files, που μεταμφιέζονται ως εφαρμογές διαχείρισης σχέσεων υπαλλήλου-πελάτη (CRM).
Οι εφαρμογές dropper καθοδηγούν τα θύματα να εγγραφούν σε έναν λογαριασμό και μετά εμφανίζεται ένα μήνυμα που τους ζητά να εγκαταστήσουν μια ενημέρωση εφαρμογής για να “διατηρούν το τηλέφωνό τους προστατευμένο”. Επιπλέον, τους συμβουλεύει να επιτρέπουν την εγκατάσταση εφαρμογών Android από εξωτερικές πηγές.
Δείτε επίσης: ToxicPanda: Νέο Android banking trojan επιτρέπει δόλιες τραπεζικές συναλλαγές
“Όταν ο χρήστης κάνει κλικ στο κουμπί «Ενημέρωση», εμφανίζεται ένα ψεύτικο εικονίδιο του Google Play Store, που οδηγεί στην εγκατάσταση του κακόβουλου λογισμικού“, είπε ο Pratapagiri.
“Όπως και ο προκάτοχός της, αυτή η κακόβουλη εφαρμογή ζητά άδειες για πρόσβαση στα Accessibility Services και τα καταχράται για να πραγματοποιήσει επιβλαβείς δραστηριότητες. Αυτές οι δραστηριότητες περιλαμβάνουν άδειες για τη διευκόλυνση περαιτέρω κακόβουλων λειτουργιών“.
Η πιο πρόσφατη έκδοση του Antidot υποστηρίζει νέες εντολές που επιτρέπουν στους χειριστές να εκκινούν τις ρυθμίσεις “Keyboard & Input“, να αλληλεπιδρούν με την οθόνη κλειδώματος βάσει του καθορισμένου value (π.χ. PIN, μοτίβο ή κωδικός πρόσβασης), να ξυπνούν τη συσκευή, να μειώνουν τη φωτεινότητα της οθόνης στο χαμηλότερο επίπεδο, να κλέβουν credentials του λογαριασμού Google και να αποτρέπουν την απεγκατάσταση του malware.
Επίσης, το malware μπορεί να αποκρύπτει ορισμένα μηνύματα SMS και να αποκλείει κλήσεις από συγκεκριμένους αριθμούς τηλεφώνου. Μια από τις πιο επικίνδυνες δυνατότητές του είναι να προβάλει ψεύτικες σελίδες σύνδεσης για 172 τράπεζες, πορτοφόλια κρυπτονομισμάτων και μέσα κοινωνικής δικτύωσης.
Δείτε επίσης: Grandoreiro: Νέες επικίνδυνες εκδόσεις του banking trojan
Μερικά από τα άλλα γνωστά χαρακτηριστικά του κακόβουλου λογισμικού περιλαμβάνουν την καταγραφή πληκτρολογήσεων, την προώθηση κλήσεων και την κλοπή SMS.
Οι ερευνητές λένε ότι η νέα phishing καμπάνια διανομής του banking trojan Antidot στοχεύει χρήστες που μιλούν Αγγλικά, Ισπανικά, Γαλλικά, Γερμανικά, Ιταλικά, Πορτογαλικά και Ρωσικά.
Προστασία από banking trojan
- Η εγκατάσταση antivirus λογισμικών είναι ουσιαστική για την προστασία της συσκευής σας. Αυτά τα λογισμικά μπορούν να αναγνωρίσουν και να απομακρύνουν το malware πριν αυτό προκαλέσει ζημιά.
- Είναι σημαντικό να κρατάτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τη συσκευή σας από το malware (π.χ. Antidot / AppLite Banker banking trojan).
- Αποφύγετε την εγκατάσταση εφαρμογών από πηγές τρίτων. Οι εφαρμογές αυτές δεν έχουν υποστεί τον ίδιο έλεγχο ασφαλείας με αυτές στα επίσημα καταστήματα.
- Προσέξτε τις άδειες που ζητούν οι εφαρμογές. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζεται, μπορεί να είναι καλύτερο να μην την εγκαταστήσετε.
- Προσέχετε τα μηνύματα phishing που μπορεί να προσπαθούν να σας παρακινήσουν να κατεβάσετε malware. Αυτά τα μηνύματα μπορεί να φαίνονται ότι προέρχονται από νόμιμες πηγές, αλλά συχνά περιέχουν συνδέσμους ή συνημμένα που μπορούν να εγκαταστήσουν malware στη συσκευή σας.
- Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) όπου είναι δυνατόν.
- Τέλος, είναι σημαντικό να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό μπορεί να βοηθήσει στην αποκατάσταση των πληροφοριών σας εάν η συσκευή σας προσβληθεί από malware (π.χ. Antidot / AppLite Banker banking trojan).
Πηγή: thehackernews.com