Pesquisadores de cibersegurança lançaram luz sobre uma sofisticada campanha de phishing móvel (mishing) projetada para distribuir uma versão atualizada do trojan bancário Antidot.
"Os atacantes se apresentaram como recrutadores, atraindo vítimas desavisadas com ofertas de emprego", disse Vishnu Pratapagiri, pesquisador da Zimperium zLabs, em um novo relatório.
Como parte de seu processo fraudulento de contratação, a campanha de phishing engana as vítimas fazendo-as baixar uma aplicação maliciosa que atua como um dropper, instalando eventualmente a variante atualizada do Antidot Banker no dispositivo da vítima.
A nova versão do malware para Android foi codinomeada AppLite Banker pela empresa de segurança móvel, destacando suas habilidades para sifonar o PIN de desbloqueio (ou padrão ou senha) e tomar controle remoto dos dispositivos infectados, uma funcionalidade recentemente também observada no TrickMo.
Os ataques empregam uma variedade de estratégias de engenharia social, frequentemente atraindo alvos com a perspectiva de uma oportunidade de emprego que alega oferecer um "salário horário competitivo de $25" e excelentes opções de avanço de carreira.
Caso a vítima interaja com o suposto recrutador, ela é direcionada a baixar um aplicativo Android malicioso de uma página de phishing como parte do processo de recrutamento, que então age como um primeiro estágio responsável por facilitar a implantação do malware principal no dispositivo.
A Zimperium disse que descobriu uma rede de domínios falsos que são usados para distribuir os arquivos APK contaminados com malware que se passam por aplicativos de gerenciamento de relacionamento com clientes (CRM) de funcionários.
Os apps dropper, além de empregarem manipulação de arquivos ZIP para evitar análise e burlar defesas de segurança, instruem as vítimas a registrar uma conta, após o que é programado para exibir uma mensagem pedindo para instalar uma atualização do app a fim de "manter seu telefone protegido".
Além disso, aconselha-os a permitir a instalação de aplicativos Android de fontes externas.
"Quando o usuário clica no botão 'Atualizar', um ícone falso da Google Play Store aparece, levando à instalação do malware", disse Pratapagiri.
Como seu predecessor, este aplicativo malicioso solicita permissões de Serviços de Acessibilidade e as abusa para sobrepor a tela do dispositivo e realizar atividades prejudiciais.
Essas atividades incluem conceder permissões a si mesmo para facilitar operações maliciosas posteriores. A versão mais recente do Antidot é embalada com suporte para novos comandos que permitem aos operadores lançar as configurações de "Teclado & Entrada", interagir com a tela de bloqueio baseada no valor definido (ou seja, PIN, padrão ou senha), despertar o dispositivo, reduzir o brilho da tela ao nível mais baixo, lançar sobreposições para roubar credenciais da conta do Google e até impedir que seja desinstalado.
Ele também incorpora a capacidade de ocultar certas mensagens SMS, bloquear chamadas de um conjunto predefinido de números de celular recebidos de um servidor remoto, lançar as configurações de "Gerenciar Aplicativos Padrão" e servir páginas de login falsas para 172 bancos, carteiras de criptomoedas e serviços de mídia social como Facebook e Telegram.
Algumas das outras características conhecidas do malware incluem keylogging, encaminhamento de chamadas, roubo de SMS e funcionalidade de Computação de Rede Virtual (VNC) para interagir remotamente com os dispositivos comprometidos.
Usuários proficientes em idiomas como inglês, espanhol, francês, alemão, italiano, português e russo são ditos como alvos da campanha.
Dada as capacidades avançadas do malware e controle extensivo sobre dispositivos comprometidos, é imperativo implementar medidas de proteção proativas e robustas para salvaguardar usuários e dispositivos contra esta e ameaças similares, prevenindo perdas de dados ou financeiras.
Os achados vêm enquanto a Cyfirma revelou que ativos de alto valor no Sul da Ásia tornaram-se alvo de uma campanha de malware para Android que entrega o trojan SpyNote.
Os ataques não foram atribuídos a nenhum ator ou grupo de ameaça conhecido.
"A continuação do uso do SpyNote é notável, pois destaca a preferência dos atores de ameaças por explorar essa ferramenta para mirar em indivíduos de alto perfil apesar de estar publicamente disponível em vários fóruns subterrâneos e canais do telegram," disse a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...