Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Mobile Malware „AppLite Banker“

Mobile Malware „AppLite Banker“

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:
Deutsch

Cybersicherheitsexperten haben ein ausgeklügeltes Phishing-Schema aufgedeckt, das darauf abzielt, eine aktualisierte Variante des Banking-Trojaners Antidot zu verbreiten. Im Rahmen einer mobilen Phishing-Kampagne (oder Mishing-Kampagne) tarnen sich die Angreifer als Personalvermittler, die attraktive Stellenangebote anbieten.

Stellenangebote, die böse Absichten verbergen

Die Angreifer geben sich als Teil eines legitimen Rekrutierungsprozesses aus und bringen die Opfer dazu, eine betrügerische Anwendung herunterzuladen. Diese bedrohliche Anwendung dient als Dropper und überträgt die neue Variante des Antidot Banker getarnt als legitime Software auf das Gerät des Opfers.

Wir stellen den AppLite Banker vor: Eine getarnte Bedrohung

Die aktualisierte Malware, die von Sicherheitsforschern den Codenamen AppLite Banker erhielt, verfügt über erweiterte Funktionen. Sie kann Entsperrungsinformationen wie PINs, Muster oder Passwörter extrahieren und die Kontrolle über infizierte Geräte aus der Ferne übernehmen. Diese Funktionen ähneln Taktiken, die bei ähnlichen Bedrohungen wie TrickMo zu beobachten sind.

Social Engineering und Job-Schemata

Angreifer nutzen Social-Engineering-Taktiken, um Opfer mit dem Versprechen lukrativer Stellenangebote anzulocken. So gab sich beispielsweise eine Phishing-Kampagne im September 2024 als kanadisches Unternehmen, Teximus Technologies, aus und behauptete, Remote-Kundendienstjobs mit attraktiven Stundenlöhnen und Karrierechancen anzubieten. Opfer, die mit diesen „Personalvermittlern“ in Kontakt treten, werden dazu verleitet, unsichere Anwendungen von Phishing-Sites herunterzuladen, wodurch der Installationsprozess der Malware eingeleitet wird.

Gefälschte Anwendungen und Phishing-Domänen

Die schädlichen Anwendungen, die sich als CRM-Tools für Mitarbeiter tarnen, werden über ein Netzwerk betrügerischer Domänen verbreitet. Diese Dropper-Apps entziehen sich geschickt der Erkennung, indem sie ZIP-Dateien manipulieren und Sicherheitsvorkehrungen umgehen. Die Opfer werden aufgefordert, ein Konto zu registrieren und ein gefälschtes Anwendungsupdate zu installieren, angeblich um „ihr Telefon zu schützen“. Das angebliche Update wird dann über eine gefälschte Google Play Store-Schnittstelle bereitgestellt, wodurch die Malware-Verteilung abgeschlossen wird.

Ausnutzen von Barrierefreiheitsfunktionen für schädliche Aktivitäten

Wie bei früheren Versionen missbraucht die AppLite Banker-Anwendung die Berechtigungen der Android Accessibility Services. Dieser Zugriff ermöglicht es ihr, Bildschirme zu überlagern, sich selbst Berechtigungen zu erteilen und andere schädliche Aktivitäten auszuführen.

Zu den wichtigsten Funktionen gehören:

  • Diebstahl von Google-Kontoanmeldeinformationen über Bildschirmüberlagerungen.
  • Ändern von Geräteeinstellungen wie Bildschirmhelligkeit und Standard-Apps.
  • Interaktion mit Sperrbildschirmen mithilfe von PINs, Mustern oder Passwörtern.
  • Verhindern der Deinstallation der Malware.

    • Erweiterte Kontrolle über infizierte Geräte

    Die neueste Version führt Funktionen ein, die die Bedrohungsstufe erhöhen, darunter:

    • Blockieren von Anrufen und Verbergen von SMS-Nachrichten basierend auf Anweisungen eines Remote-Servers.
    • Bereitstellung gefälschter Anmeldeseiten für 172 Banken, Kryptowährungs-Wallets und Social-Media-Plattformen wie Facebook und Telegram.
    • Aktivieren von Keylogging, SMS-Diebstahl, Anrufweiterleitung und Virtual Network Computing (VNC), um Geräte aus der Ferne zu manipulieren.

    Eine globale Zielgruppe

    Die Kampagne scheint sich an Benutzer aus verschiedenen Regionen zu richten, insbesondere an Benutzer mit guten Kenntnissen in Sprachen wie Englisch, Spanisch, Russisch, Französisch, Deutsch, Italienisch und Portugiesisch.

    Proaktive Verteidigung ist der Schlüssel

    Angesichts der Komplexität und der weitreichenden Auswirkungen dieser Bedrohung ist die Implementierung robuster Schutzmaßnahmen von entscheidender Bedeutung. Benutzer sollten vorsichtig sein, wenn sie unaufgefordert Stellenangebote oder Aufforderungen zur Installation externer Anwendungen erhalten. Wachsamkeit und die Priorisierung der mobilen Sicherheit können dazu beitragen, potenzielle Daten- und finanzielle Verluste zu verhindern.

    Im Trend

    GhostSpider-Hintertür

    Erweiterte, anhaltende Bedrohung (APT), Hintertür-Viren, Malware
    Eine hochentwickelte, mit China verbundene Cyber-Spionage-Gruppe namens Earth Estries hat es auf Telekommunikations- und Regierungsbehörden in Südostasien und darüber hinaus abgesehen. Die Gruppe hat eine Reihe hochentwickelter Techniken eingesetzt, um in kritische Branchen einzudringen, darunter eine nicht dokumentierte Hintertür namens GhostSpider. Es wurde auch beobachtet, dass dieser...

    Am häufigsten gesehen

    Wird geladen...