Sikkerhetsforskere har avdekket en malware-as-a-service-plattform kalt BTMOB-skadevare som gjør det mulig for cyberkriminelle å generere tilpassede Android-phishingpayloads med minimal teknisk kunnskap.
Tjenesten gir angripere verktøy for å lage ondsinnede Android-applikasjoner, administrere phishingkampanjer og fjernstyre infiserte enheter. Forskere advarte om at plattformen senker terskelen for cyberkriminelle som ønsker å rette seg mot Android-brukere gjennom storskala phishingoperasjoner.
Angripere kan lage tilpassede ondsinnede apper
Forskere oppdaget at BTMOB-skadevare inkluderer en innebygd payloadgenerator som lar angripere tilpasse ondsinnede APK-filer til ulike kampanjer.
Cyberkriminelle kan angivelig tilpasse phishinglokkemidler til spesifikke merkevarer, tjenester eller regioner uten å utvikle skadevare selv. Plattformen gjør det mulig for operatører å raskt bygge falske Android-applikasjoner som etterligner legitime tjenester.
Angripere distribuerer deretter de ondsinnede appene gjennom phishingnettsider, falske annonser, meldingsplattformer og uoffisielle nedlastingsportaler.
Forskere opplyste at malwaretjenesten aktivt markedsføres gjennom Telegram-kanaler og underjordiske cyberkriminelle miljøer.
Skadevaren gir omfattende tilgang til enheter
Når BTMOB-skadevare er installert på en offers telefon, kan angripere få bred tilgang til den infiserte enheten.
Forskere observerte funksjoner som tyveri av innloggingsopplysninger, skjermovervåking, filtilgang, GPS-sporing, fjernstyring og keylogging.
Skadevaren misbruker også Android Accessibility Services for å få forhøyede tillatelser. Sikkerhetseksperter advarte om at angripere kan bruke disse tillatelsene til å overvåke aktivitet, samhandle med applikasjoner og stjele sensitiv informasjon direkte fra kompromitterte enheter.
Forskere mener skadevaren har utviklet seg fra tidligere Android-skadevareoperasjoner og fortsetter å få nye funksjoner gjennom regelmessige oppdateringer.
Phishingnettsider driver infeksjonene
Etterforskere opplyste at phishingnettsider fortsatt er den primære distribusjonsmetoden for BTMOB-skadevarekampanjer.
Angripere oppretter ofte falske innloggingsportaler, sider for programvareoppdateringer og forfalskede tjenestenettsider som er designet for å lure brukere til å laste ned ondsinnede APK-filer.
Forskere observerte kampanjer som utga seg for å være kryptoplattformer, strømmetjenester og mobilapplikasjoner som ofte brukes av Android-brukere.
Fordi Android tillater installasjon av apper fra eksterne kilder, fortsetter angripere å bruke falske nedlastinger for å omgå beskyttelsen i offisielle appbutikker.
Sikkerhetseksperter anbefaler at brukere kun laster ned applikasjoner fra pålitelige markedsplasser og gjennomgår forespurte tillatelser nøye før installasjon.
Konklusjon
BTMOB-skadevare viser hvor tilgjengelige Android-fokuserte cyberkriminalitetstjenester har blitt. Plattformen gjør det mulig for angripere å generere tilpassede phishingpayloads og starte mobile skadevarekampanjer med svært lite teknisk erfaring. Forskere forventer at disse operasjonene vil fortsette å vokse etter hvert som cyberkriminelle i økende grad retter seg mot smarttelefoner for tyveri av innloggingsopplysninger og økonomisk svindel.
0 responses to “BTMOB-skadevare genererer tilpassede Android-phishingpayloads”