POZOR! Trojan AppLite Banker ti môže vybieliť bankový účet. Hackeri cielia na tieto aplikácie, ktoré môžeš mať v mobile
Bezpečnostní analytici pozorovali šírenie novej verzie malvéru Antidot, ktorý sa nazýva AppLite Banker. Takto malvér funguje.
Bezpečnostní analytici zo zLabs identifikovali sofistikovanú formu mobilného phishingu. Ide o malvér, ktorý po preniknutí do Android smartfónu otvorí útočníkom celý rad škodlivých funkcií, vrátane kradnutia osobných údajov alebo napadnutia bankových, či krypto aplikácií.
Analýza ukázala, že ide o novú verziu bankového trójskeho koňa Antidot. Ide o známy malvér, ktorý bezpečnostní experti odhalili v máji tohto roka. Útok sa začína tak, že kyberzločinci oslovia obeť a predstavia sa ako recruiteri. Užívateľov sa snažia presvedčiť na výhodnú pracovnú ponuku.
Ak obeť útoku súhlasí, podvodníci ju presvedčia, aby si stiahla do smartfónu škodlivú aplikáciu. Tá v tomto prípade slúži ako dropper. Eventuálne sa cez túto aplikáciu do zariadenia nainštaluje nová verzia malvéru Antidot, ktorú analytici začali označovať AppLite Banker.
Takto prebieha útok
Tento malvér dokáže napodobniť viacero veľkých spoločností a ich aplikácií, či už z bankovej alebo krypto sféry. Popri tom sa ale dokáže vydávať aj za prehliadač Chrome alebo aplikáciu TikTok. Bezpečnostní analytici upozorňujú na to, že hackeri v tomto prípade zvolili široké spektrum útočných vektorov.
“Keď sa malvér AppLite Banker dostane do zariadenia, získava úplnú kontrolu nad Android smartfónom užívateľa a jeho aplikáciami. Hackeri získavajú privilegovaný prístup do zariadenia, čo môže veľmi rýchlo viesť ku krádeži korporátnych prihlasovacích údajov, ak sa smartfón používa na prácu,” varujú bezpečnostní analytici.
Bezpečnostných analytikov prekvapilo, že sa zločinci vedia veľmi rýchlo prispôsobiť okolnostiam. Svoje obete presviedčajú sofistikovanými manipulačnými stratégiami. Ako sme už spomínali, útočníci sa vydávajú za recruiterov, pričom sa tvária, že zastupujú veľké a známe spoločnosti. Phishingový mail, cez ktorý obete kontaktujú najčastejšie, je starostlivo vypracovaný tak, aby na jednu stranu vyzeral profesionálne, no zároveň aby užívateľa prinútil naň reagovať.
Neprehliadni
Pri phishingovej správe to ale nekončí. Ak na mail zareaguješ, spúšťa sa ďalšia komunikácia, v rámci ktorej útočník postupne spomína inštaláciu Android aplikácie. Celá komunikácia sa stále javí profesionálne a legitímne. Táto aplikácia ale slúži ako dropper pre AppLite Banker bankového trójskeho koňa.
Kyberzločinci využili na podvod mená niekoľkých prominentných korporácií, napríklad Euskatel, Eminic, Distributel a Oasis. Bezpečnostní analytici pozorovali, že hackeri útočia aj na vzdelávacie inštitúcie. Na internete sa objavila falošná stránka, ktorá sa vydáva za stránku kanadskej univerzity. Táto stránka tak isto presviedča užívateľov, aby si stiahli škodlivú aplikáciu.
Škodlivá aplikácia uplatňuje niekoľko postupov, s pomocou ktorých sa vie vyhnúť odhaleniu bezpečnostným softvérom. Jednou z nich je úprava ZIP súborov a Android Manifest súborov. Hackeri pozmenia ZIP formát APK súborov, kvôli čomu ich analytické nástroje nedokážu označiť za škodlivé.
Pri prvom spustení sa užívateľovi zobrazí prihlasovacia obrazovka. Malvér cez phishingovú stránku navedie obete na vytvorenie účtu. Keď užívateľ aplikáciu spustí opakovane, nezáleží na tom, či zadá správne prihlasovacie údaje alebo nie. Otvorí sa mu okno, cez ktoré aplikácia informuje užívateľa, že musí nainštalovať “aktualizáciu”. V tomto prípade je ale aktualizáciou práve bankový malvér AppLite Banker.
Po kliknutí na možnosť aktualizovať sa užívateľ dostane na falošnú stránku, ktorá imituje Obchod Play. Z tejto podvodnej stránky sa do zariadenia sťahuje samotný malvér. Ten pri prvom spustení žiada o povolenia k nastaveniam dostupnosti, cez ktoré získava kontrolu nad zariadením. Povolením užívateľ dáva malvéru schopnosť sám si potvrdzovať ďalšie povolenia, čo vedie k ďalšej zločineckej činnosti.
Analýza odhalila, že okrem typických funkcií bankového malvéru má AppLite Banker schopnosť ukradnúť uzamykací PIN, heslo alebo vzor zariadenia. Vďaka tomu môžu kyberzločinci útočiť aj keď je smartfón zamknutý. Na bankové a iné aplikácie následne malvér útočí klasickým overlay útokom.
Na tieto aplikácie cieli momentálne malvér AppLite Banker
Android Package | Názov aplikácie N/A=Nie je v Obchode Play |
---|---|
au.com.ingdirect.androi | ING Australia Banking |
ca.tangerine.clients.banking.app | Tangerine Mobile Banking |
com.atb.ATBMobile | ATB Personal – Mobile Banking |
com.changelly.app | Crypto Exchange: Buy Bitcoin |
com.cibc.android.mobi | CIBC Mobile Banking® |
com.paypal.android.p2pmobile | PayPal – Pay, Send, Save |
com.pcfinancial.mobile | Simplii Financial |
com.rbc.mobile.android | RBC Mobile |
com.scotiabank.banking | Scotiabank Mobile Banking |
com.td | TD Canada |
co.bitx.android.wallet | Luno: Buy Bitcoin & Crypto |
co.edgesecure.app | Edge – Bitcoin & Crypto Wallet |
co.mona.android | Crypto.com – Buy Bitcoin, ETH |
com.Plus500 | Plus500 Trading |
com.commbank.netbank | CommBank |
com.binance.dev | Binance: Buy Bitcoin & Crypto |
com.bitcoin.mwallet | Bitcoin & Crypto DeFi Wallet |
com.bitfinex.mobileapp | Bitfinex: Trade Digital Assets |
com.bitpanda.bitpanda | Bitpanda: Buy Bitcoin & Crypto |
com.bitpay.wallet | BitPay: Secure Crypto Wallet |
com.btcturk.pro | BtcTurk | Kripto: BTC|USDT|XRP |
com.bybit.app | Bybit: Buy Bitcoin & Crypto |
com.bmo.mobile | BMO Canada |
com.enjin.mobile.wallet | Enjin: Crypto & NFT Wallet |
cc.bitbank.bitbank | bitbank – Bitcoin Wallet |
com.exmo | EXMO.com: Trade & Hold Crypto |
com.gemini.android.app | Gemini: Buy Bitcoin & Crypto |
com.hittechsexpertlimited.hitbtc | HitBTC cryptocurrency exchange |
org.stgeorge.bank | St.George Mobile Banking |
com.kraken.trade | Kraken Pro: Invest in Crypto |
com.kubi.kucoin | KuCoin: Buy Bitcoin & Crypto |
com.lumiwallet.android | Lumi Crypto Bitcoin Wallet |
com.mobillium.btcturk | BtcTurk | Bitcoin Buy Sell |
com.mycelium.wallet | Mycelium Bitcoin Wallet |
com.okinc.okcoin.intl | Okcoin – Buy Bitcoin & Crypto |
com.okinc.okex.gp | OKX: Buy Bitcoin BTC & Crypto |
com.paribu.app | Paribu | Bitcoin – Kripto Para |
com.paxful.wallet | Paxful: Buy Bitcoin & Ethereum |
com.payeer | PAYEER |
com.plunien.poloniex | Poloniex Crypto Exchange |
com.robinhood.android | Robinhood: Stocks & Crypto |
com.shaketh | Shakepay: Buy Bitcoin Canada |
com.tabtrader.android | TabTrader Buy & Trade Bitcoin |
com.tronlinkpro.wallet | TronLink Pro |
com.unocoin.unocoinwallet | Unocoin: Bitcoin & 85+ Cryptos |
com.wallet.crypto.trustapp | Trust: Crypto & Bitcoin Wallet |
com.wrx.wazirx | WazirX: Buy Bitcoin & Crypto |
exodusmovement.exodus | Exodus: Crypto Bitcoin Wallet |
id.co.bitcoin | Indodax Crypto Simple & Secure |
io.cex.app.prod | CEX.IO App – Buy Crypto & BTC |
com.coinbase.android | Coinbase: Buy Bitcoin & Ether |
io.safepal.wallet | SafePal: Crypto Wallet BTC NFT |
jp.coincheck.android | Coincheck |
lt.spectrofinance.spectrocoin.android.wallet | SpectroCoin – Buy Crypto |
me.cryptopay.android | Cryptopay: Spend Crypto Daily |
net.bitbay.bitcoin | zondacrypto – crypto exchange |
net.bitstamp.app | Bitstamp: Buy and Sell Crypto |
org.toshi | Coinbase Wallet: NFTs & Crypto |
piuk.blockchain.android | Blockchain.com: Crypto Wallet |
pro.huobi | HTX: Buy Crypto & Bitcoin |
app.wizink.es | WiZink Bank, tu banco online |
com.bankinter.launcher | Bankinter Mobile |
com.bbva.bbvacontigo | BBVA Spain | Online Banking |
com.bbva.netcash | BBVA Net Cash | ES & PT |
com.cajasur.android | Cajasur |
com.db.pbc.mibanco | Deutsche Bank España |
com.grupocajamar.wefferent | Grupo Cajamar |
com.imaginbank.app | imagin: More than mobile bank |
com.mediolanum | Banco Mediolanum España |
com.tecnocom.cajalaboral | Banca Móvil LABORAL Kutxa |
es.bancosantander.apps | Santander |
es.caixaontinyent.caixaontinyentapp | Caixa Ontinyent |
es.cecabank.ealia2091appstore | ABANCA Pay – Paga con tu móvil |
es.evobanco.bancamovil | EVO Banco móvil |
es.ibercaja.ibercajaapp | Ibercaja |
es.lacaixa.mobile.android.newwapicon | CaixaBankNow |
es.openbank.mobile | Openbank – banca móvil |
es.pibank.customers | Pibank |
www.ingdirect.nativeframe | ING España. Banca Móvil |
ca.mobile.explorer | CA Mobile |
cgd.pt.caixadirectaparticulares | Caixadirecta |
com.abanca.bm.pt | ABANCA – Portugal |
com.bbva.mobile.pt | BBVA Portugal |
com.exictos.mbanka.bic | Banco BIC, SA |
pt.bancobpi.mobile.fiabilizacao | BPI APP |
pt.bctt.appbctt | Banco CTT |
pt.novobanco.nbsmarter | App novobanco |
pt.santandertotta.mobileparticulares | Santander Teen |
pt.sibs.android.mbway | MB WAY |
wit.android.bcpBankingApp.activoBank | ActivoBank |
wit.android.bcpBankingApp.millennium | Millenniumbcp |
com.electroneum.mobile | Electroneum |
com.anz.android.gomoney | ANZ Australia |
com.bankofqueensland.boq | BOQ Classic Mobile |
au.com.nab.mobile | NAB Mobile Banking |
au.com.suncorp.marketplace | Suncorp Bank App |
au.com.macquarie.banking | Macquarie Mobile Banking |
com.bendigobank.mobile | Bendigo Bank |
io.metamask | MetaMask – Blockchain Wallet |
com.schwab.mobile | Schwab Mobile |
com.marcus.android | Marcus by Goldman Sachs® |
com.varomoney.bank | Varo Bank: Mobile Banking |
com.mtb.mbanking.sc.retail.prod | M&T Mobile Banking |
com.americanexpress.android.acctsvcs.us | Amex |
com.discoverfinancial.mobile | Discover Mobile |
com.regions.mobbanking | Regions Bank |
com.greendotcorp.go2bank | GO2bank: Mobile banking |
com.desjardins.mobile | Desjardins mobile services |
com.pnc.ecommerce.mobile | PNC Mobile |
ca.koho | KOHO: Award-winning Money App |
com.citi.citimobile | Citi Mobile® |
com.usaa.mobile.android.usaa | USAA Mobile |
com.wf.wellsfargomobile | Wells Fargo Mobile |
com.huntington.m | Huntington Mobile |
com.navyfederal.android | Navy Federal Credit Union |
com.usbank.mobilebanking | U.S. Bank Mobile Banking |
com.squareup.cash | Cash App |
com.venmo | Venmo |
com.truist.mobile | Truist Mobile |
com.konylabs.capitalone | Capital One Mobile |
com.infonow.bofa | Bank of America Mobile Banking |
com.bmoharris.digital | BMO Digital Banking |
com.barclaycardus | Barclays US |
com.tdbank | TD Bank (US) |
ca.pcfinancial.bank | PC Financial Mobile |
com.ally.MobileBanking | Ally: Bank, Auto & Invest |
ca.bnc.android | National Bank of Canada |
com.zellepay.zelle | Zelle |
com.citizensbank.androidapp | Citizens Bank Mobile Banking |
com.eqbank.eqbank | EQ Bank Mobile Banking |
com.onedebit.chime | Chime – Mobile Banking |
com.key.android | KeyBank Mobile Banking |
com.chase.sig.android | Chase Mobile |
com.transferwise.android | Wise |
ca.manulife.MobileGBRS | Manulife Mobile |
com.moneybookers.skrillpayments | Skrill – Fast, secure payments |
ca.affinitycu.mobile | Affinity Mobile |
ca.servus.mbanking | Servus Mobile Banking |
com.atb.businessmobile | ATB Business – Mobile Banking |
com.meridian.android | Meridian Mobile Banking |
ca.motusbank.mapp | motusbank mobile banking |
com.google.android.apps.walletnfcrel | Google Wallet |
com.google.android.gm.lite | Gmail Go |
com.vancity.mobileapp | Vancity |
com.moneybookers.skrillpayments.neteller | NETELLER – Fast Payments |
com.payoneer.android | Payoneer |
com.eofinance | N/A |
com.airbitz | N/A |
com.bitmarket.trader | N/A |
com.bittrex.trade | N/A |
com.btcturk | N/A |
com.huobionchainwallet.gp | N/A |
com.polehin.android | N/A |
com.samourai.wallet | N/A |
com.wavesplatform.wallet | N/A |
doge.org.freewallet.app | N/A |
global.bithumb.android | N/A |
hr.asseco.android.mtoken.bos | N/A |
io.ethos.universalwallet | N/A |
com.indra.itecban.mobile.novobanco | N/A |
com.indra.itecban.triodosbank.mobile.banki | N/A |
com.rsi | N/A |
com.targoes_prod.bad | N/A |
es.caixagalicia.activamovil | N/A |
es.cecabank.ealia2103appstore | N/A |
es.cm.android | N/A |
es.liberbank.cajasturapp | N/A |
es.univia.unicajamovil | N/A |
pt.novobanco.nbapp | N/A |
com.fifththird.mobile | N/A |
com.oxigen.oxigenwallet | N/A |
Komentáre