Un recente rapporto ha rivelato una sofisticata campagna di phishing mobile progettata per distribuire una versione aggiornata del trojan bancario Antidot. Gli attaccanti si spacciano per reclutatori, attirando vittime ignare con offerte di lavoro allettanti. Durante il processo di assunzione fraudolento, il phishing convince le vittime a scaricare un'applicazione malevola che funge da dropper, alla fine installando la variante aggiornata di Antidot Banker sul dispositivo della vittima.

Caratteristiche del malware

La nuova versione di questo malware Android, denominata AppLite Banker, è in grado di sottrarre PIN di sblocco e di prendere il controllo remoto dei dispositivi infetti, una caratteristica recentemente osservata anche nel trojan TrickMo. Le tattiche di ingegneria sociale utilizzate negli attacchi includono offerte di lavoro che promettono un "tasso orario competitivo di 25 dollari" e ottime opportunità di carriera.

In un post di settembre 2024 su Reddit, diversi utenti hanno riferito di aver ricevuto email da una società canadese, Teximus Technologies, riguardanti un'offerta di lavoro per un agente di servizio clienti remoto. Se la vittima interagisce con il presunto reclutatore, viene indirizzata a scaricare un'app Android malevola da una pagina di phishing, che funge da primo stadio per facilitare il dispiegamento del malware principale sul dispositivo.

Zimperium ha scoperto una rete di domini falsi utilizzati per distribuire file APK infetti da malware che si spacciano per app di gestione delle relazioni con i clienti (CRM). Le app dropper, oltre a utilizzare la manipolazione di file ZIP per eludere le analisi e bypassare le difese di sicurezza, istruiscono le vittime a registrarsi per un account. Successivamente, viene visualizzato un messaggio che richiede di installare un aggiornamento dell'app per "proteggere il telefono", inducendo le vittime a consentire l'installazione di app da fonti esterne.

Quando l'utente clicca sul pulsante "Aggiorna", appare un'icona falsa del Google Play Store, portando all'installazione del malware. Come il suo predecessore, questa app malevola richiede permessi di Servizi di Accessibilità e li sfrutta per sovrapporre lo schermo del dispositivo e compiere attività dannose, inclusa l'auto-assegnazione di permessi per facilitare ulteriori operazioni malevole.

Nuove funzionalità di Antidot

La versione più recente di Antidot supporta nuovi comandi che consentono agli operatori di lanciare impostazioni di "Tastiera e Input", interagire con la schermata di blocco in base al valore impostato (PIN, schema o password), risvegliare il dispositivo, ridurre la luminosità dello schermo al minimo, lanciare sovrapposizioni per rubare credenziali di account Google, e persino prevenirne la disinstallazione. Integra anche la capacità di nascondere certi messaggi SMS, bloccare chiamate da numeri mobili predefiniti ricevuti da un server remoto, lanciare le impostazioni di "Gestisci App Predefinite", e servire pagine di login false per 172 banche, portafogli di criptovalute e servizi di social media come Facebook e Telegram.

Tra le altre funzionalità note del malware figurano keylogging, inoltro di chiamate, furto di SMS e funzionalità di Virtual Network Computing (VNC) per interagire remotamente con i dispositivi compromessi. Campagne come queste mirano a utenti che parlano lingue come inglese, spagnolo, francese, tedesco, italiano, portoghese e russo.

Con capacità così avanzate e un controllo esteso sui dispositivi compromessi, è imperativo implementare misure di protezione proattive e robuste per salvaguardare utenti e dispositivi contro queste e simili minacce, prevenendo perdite di dati o finanziarie.