AppLite Banker モバイル マルウェア
サイバーセキュリティの専門家は、バンキング型トロイの木馬 Antidot の最新版を配布することを目的とした、巧妙なフィッシング詐欺を発見しました。モバイル フィッシング (またはミッシング) キャンペーンとして活動する攻撃者は、魅力的な仕事の機会を提供するリクルーターを装っています。
目次
悪意を隠した求人
攻撃者は、正当な採用プロセスの一部を装い、被害者を騙して不正なアプリケーションをダウンロードさせます。この脅迫的なアプリケーションはドロッパーとして機能し、正当なソフトウェアを装って Antidot Banker の新しい亜種を被害者のデバイスに配信します。
AppLite Banker のご紹介: 偽装された脅威
セキュリティ研究者によって「AppLite Banker」というコード名が付けられたこのアップデートされたマルウェアは、高度な機能を備えている。PIN、パターン、パスワードなどのデバイスロック解除認証情報を抽出し、感染したデバイスをリモートから制御することができる。これらの機能は、TrickMo などの同様の脅威に見られる手法と似ている。
ソーシャルエンジニアリングとジョブスキーム
攻撃者はソーシャルエンジニアリングの戦術を使って、高収入の仕事のチャンスを約束して被害者を誘惑します。たとえば、2024年9月のフィッシング攻撃では、カナダの会社Teximus Technologiesになりすまし、魅力的な時給とキャリアアップの可能性を備えたリモートカスタマーサービスの職を提供すると主張しました。これらの「リクルーター」と関わった被害者は、フィッシングサイトから安全でないアプリケーションをダウンロードするように誘導され、マルウェアのインストールプロセスが開始されます。
偽のアプリケーションとフィッシングドメイン
従業員 CRM ツールを装った有害なアプリケーションは、偽のドメインのネットワークを介して配布されます。これらのドロッパー アプリは、ZIP ファイルを操作してセキュリティ防御を回避することで巧妙に検出を回避します。被害者は、表面上は「携帯電話を保護する」ために、アカウントを登録して偽のアプリケーション アップデートをインストールするように求められます。その後、偽のアップデートが偽の Google Play ストア インターフェースを介して配信され、マルウェアの展開が完了します。
アクセシビリティ機能を悪用した有害な活動
以前のバージョンと同様に、AppLite Banker アプリケーションは Android アクセシビリティ サービスの権限を悪用します。このアクセスにより、画面をオーバーレイしたり、権限を自己付与したり、その他の有害なアクティビティを実行したりできるようになります。
主な機能は次のとおりです。
- 画面オーバーレイを介して Google アカウントの認証情報を盗む。
- 画面の明るさやデフォルトのアプリなどのデバイス設定を変更します。
感染したデバイスに対する制御の強化
最新バージョンでは、脅威レベルを高める次のような機能が導入されています。
- リモート サーバーの指示に基づいて通話をブロックし、SMS メッセージを非表示にします。
- 172 の銀行、暗号通貨ウォレット、Facebook や Telegram などのソーシャル メディア プラットフォームの偽のログイン ページを提供しています。
- キーロギング、SMS 盗難、通話転送、仮想ネットワーク コンピューティング (VNC) を有効にしてデバイスをリモート操作します。
グローバルなターゲットオーディエンス
このキャンペーンは、さまざまな地域のユーザー、特に英語、スペイン語、ロシア語、フランス語、ドイツ語、イタリア語、ポルトガル語などの言語に堪能なユーザーをターゲットにしているようです。
積極的な防御が鍵
この脅威の巧妙な性質と広範囲にわたる影響を考えると、強力な保護対策を実装することが重要です。ユーザーは、一方的な求人のオファーや外部アプリケーションのインストールを促すメッセージを受け取る際には注意する必要があります。常に警戒し、モバイル セキュリティを優先することで、潜在的なデータ損失や金銭的損失を防ぐことができます。
