Ove lažne ponude za posao kriju bankarskog trojanca za Android

Mobilni telefoni, 11.12.2024, 11:00 AM

Tim istraživača Zlabsa iz kompanije Zimperium otkrio je sofisticiranu mobilnu phishing kampanju (Mishing) koja distribuira novu varijantu bankarskog trojanca Antidot koja, između ostalog, krade podatke za prijavljivanje za aplikacije banaka, novčanika za kriptovalute i druge aplikacije. Istraživači su novu verziju Antidota nazvali AppLite Banker.

Napadači koriste različite strategije socijalnog inženjeringa, često mameći žrtve ponudama za posao u dobro poznatim kompanijma i odličnim mogućnostima za napredovanje u karijeri. Deo procesa lažnog zapošljavanja je phishing - žrtve na prevaru preuzimaju zlonamernu aplikaciju koja funkcioniše kao dropper, koji na kraju instalira ažuriranu varijantu mavera Antidot na uređaj žrtve.

Na Redditu je nekoliko korisnika reklo da su dobili emailove od kanadske kompanije Teximus Technologies sa ponudom za posao agenta korisničke podrške.

Ako žrtva stupi u kontakt sa napadačima, ona će biti upućena da preuzme Android aplikaciju sa sajta napadača, koja će omogućiti preuzimanje i instaliranje malvera na uređaju.

Istraživači su otkrili mrežu domena koji se koriste za distribuciju APK fajlova sa malverom, maskiranih u CRM aplikacije, za upravljanje poslovanjem i odnosima sa klijentima.

Dropper aplikacije omogućavaju manipulaciju ZIP fajlovima kako bi se izbegla analiza i zaobišla odbrana uređaja. One upućuju žrtve da registruju nalog, nakon čega im se prikazuje poruka da instaliraju ažuriranje aplikacije kako bi zaštitili telefon. Međutim, oprezni korisnik bi mogao da zaključi da nešto nije u redu zbog toga što mu se prikazuje savet da dozvoli instalaciju Android aplikacija iz spoljnih izvora.

„Kada korisnik klikne na dugme „Ažuriraj“, pojavljuje se lažna ikona Google Play prodavnice, što dovodi do instaliranja malvera“, navodi se u izveštaju. Aplikacija zahteva dozvole za Accessibility Services i „zloupotrebljava ih da bi prekrivala ekran uređaja i obavljala štetne aktivnosti. Ove aktivnosti uključuju samododeljivanje dozvola kako bi se olakšale dalje zlonamerne operacije.“

Nova verzija Antidota omogućava operaterima da otključaju ekran (krađom šablona, PIN-a ili lozinke), probude uređaj, smanje osvetljenost ekrana na najniži nivo, ukradu lozinke za Google naloge, pa čak i da spreče deinstaliranje malvera. Malver omogućava i sakrivanje određenih SMS poruka, blokiranje poziva sa unapred definisanog skupa telefonskih brojeva koje dobije sa servera, pokretanje podešavanja „Manage Default Apps“ i prikazivanje lažnih stranica za prijavljivanje za 172 banke, novčanike kriptovaluta i društvene mreže poput Facebooka i Telegrama. Neke od drugih poznatih funkcija malvera su keylogging, prosleđivanje poziva, krađa SMS-ova i VNC funkcionalnost koja omogućava daljinsku interakciju sa kompromitovanim uređajima.

Foto: Mohamed Nohassi | Unsplash