Sikkerhedsforskere har afsløret en malware-as-a-service-platform kaldet BTMOB-malware, som gør det muligt for cyberkriminelle at generere tilpassede Android-phishingpayloads med minimal teknisk viden.
Tjenesten giver angribere værktøjer til at skabe ondsindede Android-applikationer, administrere phishingkampagner og fjernstyre inficerede enheder. Forskere advarede om, at platformen sænker barrieren for cyberkriminelle, der ønsker at målrette Android-brugere gennem storskala phishingoperationer.
Angribere kan skabe tilpassede ondsindede apps
Forskere opdagede, at BTMOB-malware indeholder en indbygget payloadgenerator, som gør det muligt for angribere at tilpasse ondsindede APK-filer til forskellige kampagner.
Cyberkriminelle kan angiveligt tilpasse phishinglokkemidler til specifikke brands, tjenester eller regioner uden selv at udvikle malware. Platformen gør det muligt for operatører hurtigt at bygge falske Android-applikationer, som efterligner legitime tjenester.
Angribere distribuerer derefter de ondsindede apps gennem phishinghjemmesider, falske annoncer, beskedplatforme og uofficielle downloadportaler.
Forskere oplyste, at malwaretjenesten aktivt markedsføres gennem Telegram-kanaler og underjordiske cyberkriminelle miljøer.
Malware giver omfattende adgang til enheder
Når BTMOB-malware er installeret på en offers telefon, kan angribere få omfattende adgang til den inficerede enhed.
Forskere observerede funktioner som tyveri af loginoplysninger, skærmovervågning, filadgang, GPS-sporing, fjernstyring og keylogging.
Malwaret misbruger også Android Accessibility Services for at opnå forhøjede tilladelser. Sikkerhedseksperter advarede om, at angribere kan bruge disse tilladelser til at overvåge aktivitet, interagere med applikationer og stjæle følsomme oplysninger direkte fra kompromitterede enheder.
Forskere mener, at malwaret har udviklet sig fra tidligere Android-malwareoperationer og fortsætter med at modtage nye funktioner gennem regelmæssige opdateringer.
Phishinghjemmesider driver infektionerne
Efterforskere oplyste, at phishinghjemmesider fortsat er den primære distributionsmetode for BTMOB-malwarekampagner.
Angribere opretter ofte falske loginportaler, sider til softwareopdateringer og forfalskede tjenestehjemmesider designet til at narre brugere til at downloade ondsindede APK-filer.
Forskere observerede kampagner, som udgav sig for at være kryptoplatforme, streamingtjenester og mobilapps, der ofte bruges af Android-brugere.
Fordi Android tillader installation af apps fra eksterne kilder, fortsætter angribere med at bruge falske downloads til at omgå beskyttelsen i officielle appbutikker.
Sikkerhedseksperter anbefaler, at brugere kun downloader applikationer fra pålidelige markedspladser og gennemgår anmodede tilladelser nøje før installation.
Konklusion
BTMOB-malware viser, hvor tilgængelige Android-fokuserede cyberkriminalitetstjenester er blevet. Platformen gør det muligt for angribere at generere tilpassede phishingpayloads og starte mobile malwarekampagner med meget lidt teknisk erfaring. Forskere forventer, at disse operationer fortsætter med at vokse, efterhånden som cyberkriminelle i stigende grad målretter smartphones til tyveri af loginoplysninger og økonomisk svindel.
0 svar til “BTMOB-malware genererer tilpassede Android-phishingpayloads”