Siber güvenlik araştırmacıları, Antidot bankacılık truva atının güncellenmiş bir sürümünü dağıtmak için tasarlanmış karmaşık bir mobil kimlik avı (diğer adıyla mishing) kampanyasına ışık tuttu.
Zimperium zLabs Vishnu Pratapagiri araştırmacısı yeni bir raporda, “Saldırganlar kendilerini iş teklifleriyle masum kurbanları cezbeden işe alım görevlileri olarak sundular.” dedi.
“Dolandırıcı işe alım sürecinin bir parçası olarak, kimlik avı kampanyası kurbanları, damlalık işlevi gören kötü amaçlı bir uygulamayı indirmeleri için kandırıyor ve sonunda Antidot Banker’ın güncellenmiş versiyonunu kurbanın cihazına yüklüyor.”
Android kötü amaçlı yazılımının yeni sürümü, mobil güvenlik şirketi tarafından AppLite Banker kod adı ile adlandırıldı ve bu özellik, yakın zamanda TrickMo’da da gözlemlenen bir özellik olan, PIN’in (veya desenin veya şifrenin) kilidini açma ve virüslü cihazların kontrolünü uzaktan ele geçirme yeteneklerini vurguluyor.
Saldırılar, çeşitli sosyal mühendislik stratejileri kullanıyor ve genellikle “25 dolarlık rekabetçi saatlik ücret” ve mükemmel kariyer ilerleme seçenekleri sunduğunu iddia eden bir iş fırsatı beklentisiyle hedefleri cezbediyor.
The Hacker News tarafından Reddit’te tespit edilen Eylül 2024 tarihli bir gönderide birkaç kullanıcı, Teximus Technologies adlı Kanadalı bir şirketten uzak bir müşteri hizmetleri temsilcisi için bir iş teklifi hakkında e-postalar aldıklarını söyledi.
Kurban, işe alım yaptığı iddia edilen kişiyle iletişime geçtiğinde, işe alım sürecinin bir parçası olarak bir kimlik avı sayfasından kötü amaçlı bir Android uygulaması indirmeye yönlendiriliyor ve bu, daha sonra ana kötü amaçlı yazılımın cihaza yayılmasını kolaylaştırmaktan sorumlu ilk aşama olarak hareket ediyor.
Zimperium, çalışan-müşteri ilişkileri yönetimi (CRM) uygulamaları gibi görünen, kötü amaçlı yazılım içeren APK dosyalarını dağıtmak için kullanılan sahte alan adlarından oluşan bir ağ keşfettiğini söyledi.
Damlalık uygulamaları, analizden kaçınmak ve güvenlik savunmalarını atlamak için ZIP dosyası manipülasyonunu kullanmanın yanı sıra, kurbanlara bir hesap açmaları talimatını veriyor ve ardından “telefonunuzu korumak” için onlardan bir uygulama güncellemesi yüklemelerini isteyen bir mesaj görüntüleyecek şekilde tasarlandı. ” Ayrıca, Android uygulamalarının harici kaynaklardan yüklenmesine izin vermelerini tavsiye ediyor.
Pratapagiri, “Kullanıcı ‘Güncelle’ düğmesini tıkladığında sahte bir Google Play Store simgesi beliriyor ve bu da kötü amaçlı yazılımın yüklenmesine yol açıyor.” dedi.
“Önceki uygulamalar gibi, bu kötü amaçlı uygulama da Erişilebilirlik Hizmetleri izinleri talep ediyor ve cihazın ekranını kaplamak ve zararlı etkinlikler gerçekleştirmek için bu izinleri kötüye kullanıyor. Bu etkinlikler, daha fazla kötü amaçlı işlemi kolaylaştırmak için kendi kendine izin vermeyi de içeriyor.”
Antidot’un en yeni sürümü, operatörlerin “Klavye ve Giriş” ayarlarını başlatmasına, ayarlanan değere (örn. PIN, desen veya şifre) göre kilit ekranıyla etkileşime girmesine, cihazı uyandırmasına olanak tanıyan yeni komutları destekliyor. , ekran parlaklığını en düşük seviyeye indirin, Google hesabı kimlik bilgilerini çalmak için katmanlar başlatın ve hatta kaldırılmasını önleyin.
Ayrıca belirli SMS mesajlarını gizleme, uzak bir sunucudan alınan önceden tanımlanmış bir dizi cep telefonu numarasından gelen aramaları engelleme, “Varsayılan Uygulamaları Yönet” ayarlarını başlatma ve 172 banka, kripto para cüzdanı ve sosyal medya için sahte giriş sayfaları sunma yeteneğini de içerir. Facebook ve Telegram gibi hizmetler.
Kötü amaçlı yazılımın bilinen diğer özelliklerinden bazıları arasında tuş kaydetme, çağrı yönlendirme, SMS hırsızlığı ve ele geçirilen cihazlarla uzaktan etkileşime geçmek için Sanal Ağ Bilgi İşlem (VNC) işlevi yer alıyor.
Kampanyanın hedefinin İngilizce, İspanyolca, Fransızca, Almanca, İtalyanca, Portekizce ve Rusça gibi dilleri bilen kullanıcılar olduğu söyleniyor.
“Kötü amaçlı yazılımın gelişmiş yetenekleri ve güvenliği ihlal edilmiş cihazlar üzerindeki kapsamlı kontrolü göz önüne alındığında, kullanıcıları ve cihazları bu ve benzeri tehditlere karşı korumak, veri veya mali kayıpları önlemek için proaktif ve sağlam koruma önlemlerinin uygulanması zorunludur.”
Bulgular, Cyfirma’nın Güney Asya’daki yüksek değerli varlıkların SpyNote truva atını yayan bir Android kötü amaçlı yazılım kampanyasının hedefi haline geldiğini ortaya çıkarmasıyla geldi. Saldırılar bilinen herhangi bir tehdit aktörü veya grubuyla ilişkilendirilmedi.
Şirket, “SpyNote’un sürekli kullanımı dikkat çekicidir, çünkü tehdit aktörlerinin bu aracı çeşitli yer altı forumlarında ve telgraf kanallarında halka açık olmasına rağmen yüksek profilli bireyleri hedeflemek için kullanma tercihini vurgulamaktadır” dedi.