Мошенники распространяли банковские трояны на Android под видом предложения работы
12/12/24
Расследование Zimperium выявило сеть сайтов, которые распространяют новую версию банковского трояна Antidot. Обновлённая версия, известная как AppLite Banker, появилась после прошлой версии, обнаруженной в мае 2024 года. Хакеры использовали социальную инженерию: представлялись рекрутерами и предлагали работу. Пользователям предлагалось скачать приложение для продолжения «трудоустройства», но вместо этого на устройства устанавливалось вредоносное ПО, пишет Securitylab.
AppLite Banker, маскируясь под приложения Chrome и TikTok, может получить доступ не только к личным данным, но и к корпоративным, если устройство используется для удалённой работы.
Хакеры используют разные методы, чтобы обмануть жертв. Основной способ — это поддельные письма с предложением работы. Такие письма выглядят как настоящие и содержат ссылки на сайты, которые копируют страницы известных компаний. На сайтах пользователям предлагают скачать поддельное CRM-приложение, которое устанавливает вредоносное ПО.
Троян также использует сложные технологии для обхода антивирусов. Например, программа изменяет ZIP-архивы и файлы Android, чтобы их нельзя было проанализировать. Такие изменения затрудняют обнаружение угроз. После установки троян запрашивает специальные разрешения на устройстве, которые позволяют накладывать поддельные окна на интерфейс, скрывать сообщения и добавлять себе новые права.
Для управления заражёнными устройствами хакеры используют C2-серверы. Также троян умеет управлять устройством удалённо через виртуальный рабочий стол (VNC) и даже автоматически разблокировать экран. Троян нацелен на 95 банковских, 62 криптовалютных и 13 финансовых приложений. Кроме того, программа адаптирована для пользователей, говорящих на английском, испанском, французском, немецком, итальянском, португальском и русском языках.