Los investigadores de ciberseguridad han arrojado luz sobre una sofisticada campaña de phishing móvil (también conocido como mishing ) que está diseñada para distribuir una versión actualizada del troyano bancario Antidot .
«Los atacantes se presentaron como reclutadores, atrayendo a víctimas desprevenidas con ofertas de trabajo», dijo el investigador de Zimperium zLabs Vishnu Pratapagiri en un nuevo informe.
«Como parte de su proceso de contratación fraudulento, la campaña de phishing engaña a las víctimas para que descarguen una aplicación maliciosa que actúa como un cuentagotas, instalando eventualmente la variante actualizada de Antidot Banker en el dispositivo de la víctima».
La nueva versión del malware para Android ha sido bautizada con el nombre en código AppLite Banker por la compañía de seguridad móvil, destacando sus capacidades para extraer el PIN de desbloqueo (o patrón o contraseña) y tomar control remoto de los dispositivos infectados, una característica observada recientemente también en TrickMo.
Los ataques emplean una variedad de estrategias de ingeniería social, a menudo atrayendo a los objetivos con la perspectiva de una oportunidad laboral que pretende ofrecer una «tarifa horaria competitiva de 25 dólares» y excelentes opciones de avance profesional.
En una publicación de septiembre de 2024 identificada por The Hacker News en Reddit, varios usuarios dijeron que recibieron correos electrónicos de una empresa canadiense llamada Teximus Technologies sobre una oferta de trabajo para un agente de servicio al cliente remoto.
Si la víctima interactúa con el supuesto reclutador, se le indica que descargue una aplicación maliciosa para Android desde una página de phishing como parte del proceso de reclutamiento, que luego actúa como una primera etapa responsable de facilitar la implementación del malware principal en el dispositivo.
Zimperium dijo que descubrió una red de dominios falsos que se utilizan para distribuir archivos APK cargados de malware que se hacen pasar por aplicaciones de gestión de relaciones entre empleados y clientes (CRM).
Las aplicaciones dropper, además de emplear la manipulación de archivos ZIP para evadir el análisis y eludir las defensas de seguridad, instruyen a las víctimas a registrarse para obtener una cuenta, después de lo cual está diseñada para mostrar un mensaje que les pide que instalen una actualización de la aplicación para «mantener su teléfono protegido». Además, les aconseja que permitan la instalación de aplicaciones Android desde fuentes externas.
«Cuando el usuario hace clic en el botón ‘Actualizar’, aparece un ícono falso de Google Play Store, lo que lleva a la instalación del malware», dijo Pratapagiri.
«Al igual que su predecesora, esta aplicación maliciosa solicita permisos de los Servicios de Accesibilidad y los utiliza de forma abusiva para superponerse a la pantalla del dispositivo y llevar a cabo actividades dañinas. Estas actividades incluyen la concesión de permisos a sí misma para facilitar otras operaciones maliciosas».
La versión más nueva de Antidot incluye soporte para nuevos comandos que permiten a los operadores iniciar configuraciones de «Teclado y entrada», interactuar con la pantalla de bloqueo según el valor establecido (es decir, PIN, patrón o contraseña), activar el dispositivo, reducir el brillo de la pantalla al nivel más bajo, iniciar superposiciones para robar credenciales de la cuenta de Google e incluso evitar que se desinstale.
También incorpora la capacidad de ocultar ciertos mensajes SMS, bloquear llamadas de un conjunto predefinido de números móviles recibidos desde un servidor remoto, iniciar la configuración de «Administrar aplicaciones predeterminadas» y servir páginas de inicio de sesión falsas para 172 bancos, billeteras de criptomonedas y servicios de redes sociales como Facebook y Telegram.
Algunas de las otras características conocidas del malware incluyen registro de teclas, reenvío de llamadas, robo de SMS y funcionalidad de Computación de Red Virtual (VNC) para interactuar de forma remota con los dispositivos comprometidos.
Los usuarios que dominan idiomas como inglés, español, francés, alemán, italiano, portugués y ruso serían los objetivos de la campaña.
«Dadas las capacidades avanzadas del malware y su amplio control sobre los dispositivos comprometidos, es imperativo implementar medidas de protección proactivas y sólidas para salvaguardar a los usuarios y los dispositivos contra esta y otras amenazas similares, previniendo pérdidas financieras o de datos».
Los hallazgos se producen después de que Cyfirma revelara que activos de alto valor en el sur de Asia se han convertido en el objetivo de una campaña de malware para Android que distribuye el troyano SpyNote . Los ataques no se han atribuido a ningún actor o grupo de amenazas conocido.
«El uso continuo de SpyNote es notable, ya que resalta la preferencia de los actores de amenazas por aprovechar esta herramienta para atacar a individuos de alto perfil a pesar de estar disponible públicamente en varios foros clandestinos y canales de Telegram», afirmó la compañía.
Fuente y redacción: thehackernews.com
