Мобилен зловреден софтуер „FakeCalls“.

Изследователите на киберсигурността предупреждават както потребителите, така и бизнес организациите за заплаха от злонамерен софтуер за мобилни устройства, проследявана като троянски кон за Android „FakeCalls“. Този зловреден софтуер има способността да имитира над 20 различни финансови приложения, което го прави труден за откриване. Освен това FakeCalls може също да симулира телефонни разговори с банкови служители, което е известно като гласов фишинг или вишинг.

Vishing е вид атака чрез социално инженерство, която се провежда по телефона. Това включва използване на психология за манипулиране на жертвите да предоставят чувствителна информация или да извършват действия от името на нападателя. Терминът „вишинг“ е комбинация от думите „глас“ и „фишинг“.

FakeCalls е специално насочен към южнокорейския пазар и е много гъвкав. Той не само изпълнява основната си функция, но също така има способността да извлича лични данни от жертвите. Този троянски кон е сравним с швейцарски армейски нож поради своята многофункционалност. Подробности за заплахата бяха публикувани в доклад на експертите по информационна сигурност в Check Point Research.

Вишингът е опасна тактика на киберпрестъпниците

Гласовият фишинг, известен още като вишинг, е вид схема за социално инженерство, която има за цел да измами жертвите да повярват, че комуникират с легитимен банков служител. Това се постига чрез създаване на фалшиво приложение за интернет банкиране или платежна система, което имитира истинска финансова институция. След това нападателите предлагат на жертвата фалшив заем с по-нисък лихвен процент, който жертвата може да се изкуши да приеме поради предполагаемата легитимност на заявлението.

Нападателите използват тази възможност, за да спечелят доверието на жертвата и да получат данните от кредитната й карта. Те правят това, като заменят телефонния номер, принадлежащ на операторите на зловреден софтуер, с легитимен банков номер по време на разговора. Това създава впечатлението, че разговорът е с истинска банка и неин служител. След като се установи доверието на жертвата, тя е подмамена да „потвърди“ данните на кредитната си карта като част от процеса за квалифициране за фалшив заем.

Троянският кон FakeCalls Android може да се маскира като над 20 различни финансови приложения и да симулира телефонни разговори с банкови служители. Списъкът с имитирани организации включва банки, застрахователни компании и услуги за онлайн пазаруване. Жертвите не знаят, че зловредният софтуер съдържа скрити „функции“, когато инсталират „надеждното“ приложение за интернет банкиране от солидна организация.

Зловреден софтуер FakeCalls е оборудван с уникални техники за откриване

Повече от 2500 проби от зловреден софтуер FakeCalls са открити от Check Point Research. Тези проби варират в комбинацията от имитирани финансови организации и внедрени техники за укриване. Разработчиците на злонамерен софтуер са взели допълнителни предпазни мерки, за да защитят своето творение, като са внедрили няколко уникални техники за избягване, които не са били виждани досега.

В допълнение към другите си възможности, зловредният софтуер FakeCalls може да улавя аудио и видео потоци на живо от камерата на заразеното устройство и да ги изпраща до сървърите за командване и управление (C&C) с помощта на библиотека с отворен код. Зловреден софтуер може също да получи команда от C&C сървъра да превключи камерата по време на стрийминг на живо.

За да запазят истинските си C&C сървъри скрити, разработчиците на зловреден софтуер са внедрили няколко метода. Един от тези методи включва четене на данни чрез преобразуватели на неизправности в Google Drive или използване на произволен уеб сървър. Dead drop resolver е техника, при която злонамерено съдържание се съхранява в легитимни уеб услуги. Злонамерените домейни и IP адреси са скрити, за да прикрият комуникацията с реални C&C сървъри. Над 100 уникални IP адреса са идентифицирани чрез обработката на данни от преобразуватели на мъртви точки. Друг вариант включва злонамереният софтуер да е кодирал твърдо криптирана връзка към конкретен резолвер, който съдържа документ с криптирана сървърна конфигурация.