Специалисты Zimperium zLabs обнаружилиновую фишинговую кампанию, которая распространяет вредоносное ПО на устройства Android. Атака направлена на кражу данных, включая банковские аккаунты, криптовалютные кошельки и приложения с конфиденциальной информацией.
Расследование выявило сеть сайтов, которые распространяют новую версию банковского трояна Antidot. Обновлённая версия, известная как AppLite Banker, появилась после прошлой версии, обнаруженной в мае 2024 года. Хакеры использовали социальную инженерию: представлялись рекрутерами и предлагали работу. Пользователям предлагалось скачать приложение для продолжения “трудоустройства”, но вместо этого на устройства устанавливалось вредоносное ПО.
AppLite Banker, маскируясь под приложения Chrome и TikTok, может получить доступ не только к личным данным, но и к корпоративным, если устройство используется для удалённой работы.
Хакеры используют разные методы, чтобы обмануть жертв. Основной способ – это поддельные письма с предложением работы. Такие письма выглядят как настоящие и содержат ссылки на сайты, которые копируют страницы известных компаний. На сайтах пользователям предлагают скачать поддельное CRM-приложение, которое устанавливает вредоносное ПО.
Троян также использует сложные технологии для обхода антивирусов. Например, программа изменяет ZIP-архивы и файлы Android, чтобы их нельзя было проанализировать. Такие изменения затрудняют обнаружение угроз. После установки троян запрашивает специальные разрешения на устройстве, которые позволяют накладывать поддельные окна на интерфейс, скрывать сообщения и добавлять себе новые права.
Для управления заражёнными устройствами хакеры используют C2-серверы. Также троян умеет управлять устройством удалённо через виртуальный рабочий стол (VNC) и даже автоматически разблокировать экран. Троян нацелен на 95 банковских, 62 криптовалютных и 13 финансовых приложений. Кроме того, программа адаптирована для пользователей, говорящих на английском, испанском, французском, немецком, итальянском, португальском и русском языках.
Для защиты Zimperium предлагает технологии, которые обнаруживают угрозы в реальном времени. Такие решения блокируют вредоносные сайты и защищают устройства от утечки данных и финансовых потерь.