Una delle ultime novità tra le minacce informatiche è AppLite, una variante del noto trojan bancario Antidot, che prende di mira i dispositivi mobili dei dipendenti aziendali.
“Il team di zLabs ha identificato una sofisticata campagna Mishing (phishing mirato ai dispositivi mobili) che diffonde malware sul dispositivo mobile Android dell’utente, consentendo un’ampia serie di azioni dannose, tra cui il furto di credenziali di applicazioni bancarie, di criptovaluta e di altre applicazioni critiche”, si legge nel rapporto Zimperium.
Inizialmente identificato a maggio 2024 da Cyble, Antidot si è evoluto impiegando tattiche avanzate di ingegneria sociale fino ad arrivare all’ultima evoluzione con la sua variante AppLite Banker, che include in particolare tecniche di offuscamento migliorate, una solida infrastruttura C2 supportando campagne di phishing in più lingue per estendere il bacino d’azione (secondo le evidenze di Zimperium, gli obiettivi sarebbero utenti che parlano inglese, spagnolo, francese, tedesco, italiano, portoghese e russo).
Indice degli argomenti
La catena di infezione di AppLite
Gli attaccanti dietro AppLite utilizzano tecniche di ingegneria sociale avanzate per ingannare le vittime.
Spesso si spacciano per reclutatori o rappresentanti delle risorse umane, convincendo gli utenti a scaricare applicazioni fraudolente.
Una volta installato, AppLite comunica con il server di comando e controllo tramite canali criptati, permettendo agli attaccanti di inviare comandi in tempo reale.
Fonte: Zimperium.
In pratica, l’attore della minaccia si spaccia per rappresentante delle risorse umane di aziende note, creando e-mail che sembrano offerte di lavoro legittime ma che in realtà reindirizzano le vittime verso una landing page per scaricare e installare un dropper che finisce con il distribuire il trojan bancario AppLite sul dispositivo della vittima.
Dopo avere ottenuto le autorizzazioni richieste, il malware stabilisce segretamente una connessione con il suo server Commando e Controllo (C&C) utilizzando un websocket e abilitando un canale di comunicazione bidirezionale in tempo reale. Ciò consente all’attaccante di mantenere il controllo e impartire comandi.
Fonte: Zimperium.
Interessante notare che l’app dropper, oltre a utilizzare la manipolazione dei file ZIP per eludere l’analisi e aggirare le difese di sicurezza, all’avvio presenta una pagina di accesso con il falso pretesto di registrare un account e installare un aggiornamento dell’app per mantenere il telefono protetto.
L’aggiornamento sarebbe in realtà AppLite, la nuova variante del trojan bancario Antidot.
Caratteristiche di AppLite
AppLite si distingue per la sua capacità di mascherarsi da applicazioni legittime, come Chrome, TikTok, o strumenti aziendali come “EmployeesCRM”.
Una volta installato, il malware sfrutta i servizi di accessibilità di Android per ottenere permessi elevati e compiere azioni senza il consenso dell’utente.
Questa ultima variante di Antidot supporta nuovi comandi che consentono agli operatori di interagire con la schermata di blocco (ad esempio con PIN, sequenze o password), riattivare il dispositivo e impedire la disinstallazione del malware stesso.
Incorpora, inoltre, la possibilità di nascondere determinati messaggi SMS, bloccare le chiamate da un set predefinito di numeri di cellulare ricevuti dal server C2 e avviare l’overlay per rubare le credenziali e prendere di mira ben 172 applicazioni tra istituti finanziari, piattaforme di social media e portafogli di criptovalute, tramite la sovrapposizione, all’interfaccia utente dell’applicazione legittima, di una pagina HTML ingannevole.
Fonte: Zimperium.
Tra le altre funzionalità di AppLite figurano:
- Controllo del dispositivo: grazie ai servizi di accessibilità, AppLite può prendere il controllo del dispositivo, eseguendo azioni come l’auto concessione di permessi, l’invio di messaggi e la registrazione dello schermo. La funzionalità Virtual Network Computing (VNC) consente inoltre agli attaccanti di controllare i dispositivi compromessi.
- Esfiltrazione di dati aziendali: appLite rappresenta una minaccia significativa per le aziende, poiché può rubare credenziali da dispositivi utilizzati per il lavoro remoto, mettendo a rischio dati sensibili e risorse aziendali.
Misure di protezione
AppLite rappresenta una minaccia emergente nel campo della sicurezza mobile, con il potenziale di causare gravi danni alle aziende.
Per aiutare a comprendere l’impatto aziendale che AppLite può avere le organizzazioni dovrebbero valutare i possibili rischi (quali impatto finanziario, interruzione operativa, danni reputazionali) in modo proattivo e dare priorità alle strategie di difesa quali:
- Educare i dipendenti sui rischi delle applicazioni mobili e sulle tecniche di ingegneria sociale può ridurre significativamente il rischio di infezione.
- Implementare soluzioni di sicurezza anche sui dispositivi mobili.
- Stabilire politiche di sicurezza rigorose per l’uso dei dispositivi mobili aziendali, inclusi controlli regolari e restrizioni sull’installazione di applicazioni non autorizzate.
