Тимот на истражувачи "Zlabs" од "Zimperium" открија софистицирана мобилна фишинг кампања (Mishing) која дистрибуира нова варијанта на банкарскиот тројанец "Antidot" кој краде ингеренциите за најавување за банкарство, паричник за криптовалути и други апликации, меѓу другото. Истражувачите ја именуваа новата верзија на "Antidote" - "AppLite"
Напаѓачите користат различни стратегии за социјален инженеринг, често привлекувајќи ги жртвите со понуди за работа во познати компании и одлични можности за напредување во кариерата. Дел од лажниот процес на регрутирање е фишинг – жртвите се измамени да преземат злонамерна апликација која делува како "dropper", која на крајот инсталира ажурирана варијанта на "Antidot" на уредот на жртвата.
На "Reddit", неколку корисници рекоа дека добиле е-пораки од канадската компанија "Teximus Technologies" кои нудат работа како агент за поддршка на клиентите.
Доколку жртвата стапи во контакт со напаѓачите, таа ќе биде упатена да преземе "Android" апликација од страницата на напаѓачот, што ќе овозможи преземање и инсталирање на малициозен софтвер на уредот.
Истражувачите открија мрежа на домени кои се користат за дистрибуција на APK-датотеки со малициозен софтвер, маскирани како CRM-апликации за бизнис и управување со односите со клиентите.
"Dropper" апликациите овозможуваат манипулација со ZIP-датотеки за да се избегне анализа и да се заобиколи одбраната на уредот. Тие ги упатуваат жртвите да регистрираат сметка, по што од нив се бара да инсталираат ажурирање на апликацијата за да го заштитат нивниот телефон. Сепак, претпазливиот корисник може да заклучи дека нешто не е во ред со тоа што ќе му се покаже совет за да дозволи инсталирање на апликации за Android од надворешни извори.
„Кога корисникот ќе кликне на копчето „Ажурирај“, се појавува лажна икона на "Google Play Store", што доведува до инсталирање на малициозен софтвер“, се вели во извештајот. Апликацијата бара дозволи за "Accessibility Services" и „ги злоупотребува за да го покрие екранот на уредот и да врши злонамерни активности“. Овие активности вклучуваат самододелување дозволи за олеснување на понатамошни злонамерни операции“.
Новата верзија на "Antidote" им овозможува на операторите да го отклучат екранот (со крадење шема, PIN или лозинка), да го разбудат уредот, да ја намалат осветленоста на екранот на најниско ниво, да ги украдат лозинките на сметката на "Google", па дури и да спречат деинсталирање на малициозен софтвер.
Злонамерниот софтвер, исто така, овозможува да се скријат одредени СМС пораки, да се блокираат повиците од претходно дефиниран сет телефонски броеви што ги прима од серверот, да се изврши поставката „Управување со стандардни апликации“ и да се прикажат лажни страници за најавување за 172 банки, паричници со криптовалути и социјални мрежи како "Facebook" и "Telegram". Некои од другите познати карактеристики на малициозниот софтвер се евиденција на тастатурата, препраќање повици, крадење "SMS" и "VNC" функционалност што овозможува далечинска интеракција со компромитирани уреди.