MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung im Bereich der mobilen Sicherheit hat die Aufmerksamkeit von Cybersecurity-Experten auf sich gezogen. Eine raffinierte Phishing-Kampagne, die sich als Jobangebot tarnt, verbreitet eine aktualisierte Version des Antidot-Banking-Trojaners über Android-Geräte.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
In der Welt der Cyberkriminalität sind Phishing-Angriffe keine Seltenheit, doch die jüngste Kampagne, die von Sicherheitsforschern aufgedeckt wurde, zeigt eine besonders ausgeklügelte Vorgehensweise. Die Angreifer geben sich als vermeintliche Personalvermittler aus und locken ahnungslose Opfer mit attraktiven Jobangeboten. Diese Masche zielt darauf ab, die Opfer dazu zu bringen, eine bösartige Anwendung herunterzuladen, die als Dropper fungiert und letztlich die aktualisierte Variante des Antidot-Banking-Trojaners auf dem Gerät installiert.
Die neue Version des Android-Malwares, von der Sicherheitsfirma als AppLite Banker bezeichnet, ist in der Lage, Entsperr-PINs, Muster oder Passwörter zu stehlen und die Kontrolle über infizierte Geräte aus der Ferne zu übernehmen. Diese Funktionalität wurde kürzlich auch bei TrickMo beobachtet. Die Angriffe nutzen eine Vielzahl von Social-Engineering-Strategien, um die Opfer mit der Aussicht auf eine Anstellung zu ködern, die einen „attraktiven Stundenlohn von 25 Dollar“ und hervorragende Karrieremöglichkeiten verspricht.
In einem Beitrag auf Reddit im September 2024 berichteten mehrere Nutzer, dass sie E-Mails von einem kanadischen Unternehmen namens Teximus Technologies erhalten hatten, in denen ihnen eine Stelle als Remote-Kundendienstmitarbeiter angeboten wurde. Wenn das Opfer auf das Angebot eingeht, wird es angewiesen, eine bösartige Android-App von einer Phishing-Seite herunterzuladen, die dann als erste Stufe für die Installation der Haupt-Malware auf dem Gerät dient.
Zimperium, ein Unternehmen für mobile Sicherheit, entdeckte ein Netzwerk von gefälschten Domains, die zur Verbreitung der mit Malware verseuchten APK-Dateien verwendet werden, die sich als CRM-Apps tarnen. Die Dropper-Apps verwenden ZIP-Dateimanipulation, um Analysen zu umgehen und Sicherheitsmaßnahmen zu unterlaufen. Die Opfer werden angewiesen, ein Konto zu registrieren, woraufhin eine Nachricht angezeigt wird, die sie auffordert, ein App-Update zu installieren, um „ihr Telefon zu schützen“.
Wenn der Benutzer auf die Schaltfläche „Update“ klickt, erscheint ein gefälschtes Google Play Store-Symbol, das zur Installation der Malware führt. Wie sein Vorgänger fordert diese bösartige App Berechtigungen für die Bedienungshilfen an und missbraucht diese, um den Bildschirm des Geräts zu überlagern und schädliche Aktivitäten durchzuführen. Diese Aktivitäten umfassen das Selbstgewähren von Berechtigungen, um weitere bösartige Operationen zu erleichtern.
Die neueste Version von Antidot ist mit neuen Befehlen ausgestattet, die es den Betreibern ermöglichen, die Einstellungen für „Tastatur & Eingabe“ zu starten, mit dem Sperrbildschirm zu interagieren, das Gerät aufzuwecken, die Bildschirmhelligkeit auf das niedrigste Niveau zu reduzieren, Overlays zu starten, um Google-Kontodaten zu stehlen, und sogar zu verhindern, dass es deinstalliert wird. Sie kann auch bestimmte SMS-Nachrichten verbergen, Anrufe von einer vordefinierten Liste von Mobilnummern blockieren, die von einem Remote-Server empfangen werden, die Einstellungen für „Standard-Apps verwalten“ starten und gefälschte Anmeldeseiten für 172 Banken, Kryptowährungs-Wallets und soziale Medien wie Facebook und Telegram bereitstellen.
Zu den weiteren bekannten Funktionen der Malware gehören Keylogging, Anrufweiterleitung, SMS-Diebstahl und Virtual Network Computing (VNC)-Funktionalität, um aus der Ferne mit den kompromittierten Geräten zu interagieren. Die Kampagne zielt auf Benutzer ab, die Englisch, Spanisch, Französisch, Deutsch, Italienisch, Portugiesisch und Russisch sprechen. Angesichts der fortschrittlichen Fähigkeiten der Malware und der umfassenden Kontrolle über kompromittierte Geräte ist es unerlässlich, proaktive und robuste Schutzmaßnahmen zu implementieren, um Benutzer und Geräte vor dieser und ähnlichen Bedrohungen zu schützen und Daten- oder Finanzverluste zu verhindern.
Die Erkenntnisse kommen zu einem Zeitpunkt, da Cyfirma enthüllt hat, dass hochrangige Vermögenswerte in Südasien Ziel einer Android-Malware-Kampagne geworden sind, die den SpyNote-Trojaner verbreitet. Die Angriffe wurden keinem bekannten Bedrohungsakteur oder -gruppe zugeschrieben. Die fortgesetzte Nutzung von SpyNote ist bemerkenswert, da sie die Vorliebe der Bedrohungsakteure unterstreicht, dieses Tool zu nutzen, um hochkarätige Personen anzugreifen, obwohl es auf verschiedenen Untergrundforen und Telegram-Kanälen öffentlich verfügbar ist.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.