
Investigadores de ciberseguridad han arrojado luz sobre una sofisticada campaña de phishing móvil (también conocida como mishing) diseñada para distribuir una versión actualizada del troyano bancario Antidot.
“Los atacantes se presentaron como reclutadores y atrajeron a víctimas desprevenidas con ofertas de trabajo”, afirma Vishnu Pratapagiri, investigador de Zimperium zLabs. dicho en un nuevo informe.
“Como parte de su proceso de contratación fraudulenta, la campaña de phishing engaña a las víctimas para que descarguen una aplicación maliciosa que actúa como un cuentagotas y, finalmente, instala la variante actualizada de Antidot Banker en el dispositivo de la víctima”.
La nueva versión del software malicioso para Android La compañía de seguridad móvil le ha dado el nombre en código AppLite Banker, destacando sus capacidades para desviar PIN de desbloqueo (o patrón o contraseña) y tomar control remoto de dispositivos infectados, una característica que también se observó recientemente en TrickMo.
Los ataques emplean una variedad de estrategias de ingeniería social, a menudo atrayendo objetivos con la perspectiva de una oportunidad laboral que dice ofrecer una “tarifa competitiva por hora de $25” y excelentes opciones de avance profesional.
en un Publicación de septiembre de 2024 Identificados por The Hacker News en Reddit, varios usuarios dijeron haber recibido correos electrónicos de una empresa canadiense llamada Teximus Technologies sobre una oferta de trabajo para un agente de servicio al cliente remoto.
Si la víctima interactúa con el presunto reclutador, se le indica que descargue una aplicación de Android maliciosa desde una página de phishing como parte del proceso de reclutamiento, que luego actúa como una primera etapa responsable de facilitar la implementación del malware principal en el dispositivo.
Zimperium dijo que descubrió una red de dominios falsos que se utilizan para distribuir archivos APK con malware que se hacen pasar por aplicaciones de gestión de relaciones entre empleados y clientes (CRM).
Las aplicaciones cuentagotas, además de emplear la manipulación de archivos ZIP para evadir el análisis y eludir las defensas de seguridad, indican a las víctimas que se registren para obtener una cuenta, después de lo cual están diseñadas para mostrar un mensaje pidiéndoles que instalen una actualización de la aplicación para “mantener su teléfono protegido”. ” Además, les aconseja que permitan la instalación de aplicaciones de Android desde fuentes externas.
“Cuando el usuario hace clic en el botón ‘Actualizar’, aparece un icono falso de Google Play Store, lo que lleva a la instalación del malware”, dijo Pratapagiri.
“Al igual que su predecesora, esta aplicación maliciosa solicita permisos de Servicios de Accesibilidad y abusa de ellos para superponerse a la pantalla del dispositivo y llevar a cabo actividades dañinas. Estas actividades incluyen permisos autoconcedidos para facilitar futuras operaciones maliciosas”.
La versión más reciente de Antidot incluye soporte para nuevos comandos que permiten a los operadores iniciar la configuración de “Teclado y entrada”, interactuar con la pantalla de bloqueo según el valor establecido (es decir, PIN, patrón o contraseña) y activar el dispositivo. , reducir el brillo de la pantalla al nivel más bajo, iniciar superposiciones para robar las credenciales de la cuenta de Google e incluso evitar que se desinstale.
También incorpora la capacidad de ocultar ciertos mensajes SMS, bloquear llamadas de un conjunto predefinido de números móviles recibidos desde un servidor remoto, iniciar la configuración de “Administrar aplicaciones predeterminadas” y ofrecer páginas de inicio de sesión falsas para 172 bancos, billeteras de criptomonedas y redes sociales. Servicios como Facebook y Telegram.
Algunas de las otras características conocidas del malware incluyen registro de teclas, desvío de llamadas, robo de SMS y funcionalidad de Computación de red virtual (VNC) para interactuar de forma remota con los dispositivos comprometidos.
Se dice que los usuarios que dominan idiomas como inglés, español, francés, alemán, italiano, portugués y ruso son los objetivos de la campaña.
“Dadas las capacidades avanzadas del malware y el amplio control sobre los dispositivos comprometidos, es imperativo implementar medidas de protección proactivas y sólidas para salvaguardar a los usuarios y dispositivos contra esta y amenazas similares, evitando pérdidas de datos o financieras”.
Los hallazgos se producen cuando Cyfirma reveló que activos de alto valor en el sur de Asia se han convertido en el objetivo de una campaña de malware para Android que distribuye el troyano SpyNote. Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido.
“El uso continuo de SpyNote es notable, ya que resalta la preferencia de los actores de amenazas por aprovechar esta herramienta para apuntar a personas de alto perfil a pesar de estar disponible públicamente en varios foros clandestinos y canales de Telegram”, dijo la compañía. dicho.






