Mobilne złośliwe oprogramowanie „FakeCalls”.
Analitycy cyberbezpieczeństwa ostrzegają zarówno użytkowników, jak i organizacje biznesowe przed mobilnym złośliwym oprogramowaniem śledzonym jako trojan „FakeCalls” dla Androida. To złośliwe oprogramowanie ma zdolność naśladowania ponad 20 różnych aplikacji finansowych, co utrudnia jego wykrycie. Dodatkowo FakeCalls może również symulować rozmowy telefoniczne z pracownikami banku, co jest znane jako phishing głosowy lub vishing.
Vishing to rodzaj ataku socjotechnicznego przeprowadzanego przez telefon. Polega na wykorzystywaniu psychologii do manipulowania ofiarami w celu dostarczenia poufnych informacji lub wykonania działań w imieniu atakującego. Termin „vishing” jest połączeniem słów „voice” i „phishing”.
FakeCalls jest specjalnie ukierunkowany na rynek Korei Południowej i jest bardzo wszechstronny. Nie tylko spełnia swoją podstawową funkcję, ale ma również możliwość wydobywania prywatnych danych od ofiar. Trojan ten można porównać do szwajcarskiego scyzoryka ze względu na jego wielofunkcyjność. Szczegóły dotyczące zagrożenia zostały ujawnione w raporcie ekspertów infosec z Check Point Research.
Vishing to niebezpieczna taktyka cyberprzestępców
Phishing głosowy, znany również jako vishing, to rodzaj schematu socjotechnicznego, którego celem jest oszukanie ofiar, aby uwierzyły, że komunikują się z legalnym pracownikiem banku. Osiąga się to poprzez stworzenie fałszywej aplikacji do bankowości internetowej lub systemu płatności, która naśladuje prawdziwą instytucję finansową. Atakujący oferują następnie ofierze fałszywą pożyczkę z niższym oprocentowaniem, którą ofiara może skusić ze względu na postrzeganą zasadność wniosku.
Atakujący wykorzystują tę okazję, aby zdobyć zaufanie ofiary i uzyskać dane jej karty kredytowej. Robią to poprzez zastąpienie podczas rozmowy numeru telefonu należącego do operatorów szkodliwego oprogramowania prawdziwym numerem banku. Sprawia to wrażenie, że rozmowa jest prowadzona z prawdziwym bankiem i jego pracownikiem. Po ustanowieniu zaufania ofiary, jest ona nakłaniana do „potwierdzenia” danych swojej karty kredytowej w ramach procesu kwalifikującego się do otrzymania fałszywej pożyczki.
Trojan FakeCalls dla systemu Android może udawać ponad 20 różnych aplikacji finansowych i symulować rozmowy telefoniczne z pracownikami banku. Lista organizacji, które zostały naśladowane, obejmuje banki, firmy ubezpieczeniowe i serwisy zakupów online. Ofiary nie są świadome, że złośliwe oprogramowanie zawiera ukryte „funkcje”, gdy instalują „godną zaufania” aplikację bankowości internetowej od solidnej organizacji.
Złośliwe oprogramowanie FakeCalls jest wyposażone w unikalne techniki zapobiegające wykryciu
Check Point Research wykrył ponad 2500 próbek złośliwego oprogramowania FakeCalls. Próbki te różnią się kombinacją naśladowanych organizacji finansowych i zastosowanych technik unikania. Twórcy złośliwego oprogramowania podjęli dodatkowe środki ostrożności, aby chronić swoje dzieło, wdrażając kilka unikalnych technik unikania, których wcześniej nie widziano.
Oprócz innych możliwości, złośliwe oprogramowanie FakeCalls może przechwytywać strumienie audio i wideo na żywo z kamery zainfekowanego urządzenia i wysyłać je do serwerów Command-and-Control (C&C) za pomocą biblioteki open source. Szkodliwe oprogramowanie może również otrzymać polecenie z serwera C&C, aby przełączyć kamerę podczas transmisji na żywo.
Aby ukryć swoje prawdziwe serwery C&C, twórcy złośliwego oprogramowania wdrożyli kilka metod. Jedna z tych metod polega na odczytywaniu danych za pomocą narzędzi do rozwiązywania problemów typu dead drop na Dysku Google lub przy użyciu dowolnego serwera internetowego. Narzędzie do usuwania martwych stron to technika polegająca na przechowywaniu złośliwej zawartości w legalnych usługach internetowych. Złośliwe domeny i adresy IP są ukryte, aby ukryć komunikację z prawdziwymi serwerami C&C. Ponad 100 unikalnych adresów IP zostało zidentyfikowanych podczas przetwarzania danych z resolwerów dead drop. Inny wariant polega na tym, że złośliwe oprogramowanie zakodowało na stałe zaszyfrowany odsyłacz do określonego programu tłumaczącego, który zawiera dokument z zaszyfrowaną konfiguracją serwera.
