网络安全研究人员揭露了一个复杂的移动网络钓鱼(又称 "钓鱼")活动,该活动旨在分发升级版的Antidot银行木马。 "攻击者以招聘人员自居,用工作机会引诱毫无戒心的受害者,"Zimperium zLabs Vishnu Pratapagiri研究员在一份新报告中说。
"作为其欺诈性招聘过程的一部分,钓鱼活动诱使受害者下载一个恶意应用程序,该应用程序充当滴管,最终在受害者的设备中安装了Antidot Banker的更新变种。" 移动安全公司将新版安卓恶意软件的代号定为AppLite Banker,突出强调了其虹吸解锁PIN码(或图案或密码)和远程控制受感染设备的能力,最近在TrickMo中也观察到了这一功能。
这些攻击采用了各种社交工程策略,通常以工作机会的前景引诱目标,声称能提供 "有竞争力的 25 美元时薪 "和良好的职业晋升机会。 黑客新闻》于 2024 年 9 月在 Reddit 上发现的一个帖子中,几名用户称他们收到了一家名为 Teximus Technologies 的加拿大公司发来的电子邮件,内容是招聘远程客户服务代理。
如果受害者与所谓的招聘人员联系,他们就会被引导从一个钓鱼页面下载一个恶意安卓应用程序,作为招聘流程的一部分,然后该应用程序会充当第一阶段的负责人,协助在设备上部署主要恶意软件。
Zimperium表示,它发现了一个虚假域名网络,这些域名被用来分发伪装成员工-客户关系管理(CRM)应用程序的恶意软件APK文件。 除了利用ZIP文件篡改来逃避分析和绕过安全防御措施外,这些下载器应用程序还指示受害者注册一个账户,然后它会显示一条信息,要求他们安装一个应用程序更新,以便 "保护您的手机"。 此外,它还建议受害者允许安装来自外部的 Android 应用程序。
这些攻击采用了各种社交工程策略,通常以工作机会的前景引诱目标,声称能提供 "有竞争力的 25 美元时薪 "和良好的职业晋升机会。 黑客新闻》于 2024 年 9 月在 Reddit 上发现的一个帖子中,几名用户称他们收到了一家名为 Teximus Technologies 的加拿大公司发来的电子邮件,内容是招聘远程客户服务代理。
如果受害者与所谓的招聘人员联系,他们就会被引导从一个钓鱼页面下载一个恶意安卓应用程序,作为招聘流程的一部分,然后该应用程序会充当第一阶段的负责人,协助在设备上部署主要恶意软件。
Zimperium表示,它发现了一个虚假域名网络,这些域名被用来分发伪装成员工-客户关系管理(CRM)应用程序的恶意软件APK文件。 除了利用ZIP文件篡改来逃避分析和绕过安全防御措施外,这些下载器应用程序还指示受害者注册一个账户,然后它会显示一条信息,要求他们安装一个应用程序更新,以便 "保护您的手机"。 此外,它还建议受害者允许安装来自外部的 Android 应用程序。
据说,精通英语、西班牙语、法语、德语、意大利语、葡萄牙语和俄语等语言的用户是该活动的目标。"鉴于该恶意软件的先进功能和对被入侵设备的广泛控制,必须实施积极稳健的保护措施,以保护用户和设备免受这种威胁和类似威胁的侵害,防止数据或财务损失。" 在Cyfirma披露这些发现的同时,南亚的高价值资产已成为一个安卓恶意软件活动的目标,该活动传播SpyNote木马。 该公司表示:"SpyNote的持续使用值得注意,因为它凸显了威胁行为者偏好利用这一工具来攻击高知名度的个人,尽管这一工具在各种地下论坛和电报频道上都是公开的。 您觉得这篇文章有趣吗? 请在 Twitter 和 LinkedIn 上关注我们,阅读我们发布的更多独家内容。
信息来源:https://thehackernews.com/2024/12/fake-recruiters-distribute-banking.html