برنامج FakeCall Vishing الخبيث
اكتشف باحثو الأمن السيبراني نوعًا جديدًا من عائلة التهديدات المعروفة لنظام Android، FakeCall، والذي يستخدم تقنيات التصيد الصوتي، أو "vishing"، لخداع المستخدمين وإقناعهم بالكشف عن معلوماتهم الشخصية.
تعتمد هجمات التصيد الصوتي المتقدمة هذه على برامج ضارة يمكنها اكتساب سيطرة واسعة النطاق على جهاز محمول مصاب، حتى اعتراض المكالمات الواردة والصادرة. يتم تضليل الضحايا بأنهم يجرون مكالمات مشروعة. بدلاً من ذلك، يتم توصيلهم بأرقام احتيالية يديرها المهاجم، وكل ذلك أثناء تجربة واجهة مألوفة على أجهزتهم.
تمت دراسة FakeCall، والتي تُعرف أيضًا باسم FakeCalls و Letscall، على نطاق واسع من قبل باحثي أمن المعلومات منذ ظهورها في أبريل 2022، حيث استهدفت موجات الهجوم السابقة بشكل أساسي مستخدمي الهواتف المحمولة في كوريا الجنوبية.
جدول المحتويات
برنامج FakeCall يجمع المعلومات من شاشات الضحايا
ترتبط أسماء الحزم التالية بتطبيقات القطارة التي توزع البرامج الضارة:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- أويودز.ووقريكج.بلكسال
- plnfexcq.fehlwuggm.kyxvb
- Xkeqoi.iochvm.vmyab
مثل التهديدات المصرفية الأخرى التي تستهدف نظام أندرويد، يستغل برنامج FakeCall واجهات برمجة تطبيقات خدمات إمكانية الوصول بشكل خاطئ للسيطرة على الجهاز وتنفيذ أنشطة ضارة. ويستغل هذه الواجهات البرمجية لالتقاط المعلومات التي تظهر على الشاشة ومنح نفسه أذونات إضافية حسب الحاجة.
تتمتع البرامج الضارة بقدرات تجسس واسعة النطاق، مما يمكنها من جمع البيانات مثل الرسائل القصيرة وجهات الاتصال والمواقع والتطبيقات المثبتة. كما يمكنها التقاط الصور وتسجيل البث المباشر من الكاميرات الأمامية والخلفية وإضافة جهات اتصال وإزالتها والتقاط مقاطع صوتية وتحميل الصور ومحاكاة بث فيديو مباشر لإجراءات الجهاز باستخدام واجهة برمجة تطبيقات MediaProjection.
التكتيكات الجديدة الملتوية التي يستخدمها برنامج FakeCall الخبيث
وقد تم تعزيز الإصدارات الجديدة من البرامج الضارة لمراقبة حالة البلوتوث ونشاط الشاشة على الجهاز. ومع ذلك، فإن ما يزيد من حدة التهديد بشكل كبير هو تكتيكها المتمثل في مطالبة المستخدم بتعيين التطبيق كبرنامج اتصال افتراضي، مما يتيح لها تتبع جميع المكالمات الواردة والصادرة والتلاعب بها.
يتيح هذا الوصول لبرنامج FakeCall ليس فقط اعتراض المكالمات ولكن أيضًا تغيير الأرقام المطلوبة. على سبيل المثال، يمكن إعادة توجيه المكالمات الموجهة إلى أحد البنوك إلى أرقام وهمية تحت سيطرة المهاجم، مما يخدع الضحايا ويدفعهم إلى القيام بأفعال غير مقصودة.
كانت الإصدارات السابقة من برنامج FakeCall تحث المستخدمين على إجراء مكالمات إلى البنوك من خلال التطبيق نفسه، وغالبًا ما ينتحل صفة مؤسسات مالية مختلفة ويقدم عروض قروض وهمية بأسعار فائدة جذابة. وعندما يحاول مستخدم مصاب الاتصال بالبنك، يقوم البرنامج الخبيث بإعادة توجيه المكالمة إلى رقم احتيالي يتحكم فيه المهاجم.
يخدع التطبيق المهدد المستخدمين بواجهة وهمية مقنعة تشبه شاشة الاتصال في نظام أندرويد، وتعرض رقم الهاتف الحقيقي للبنك. هذه الواجهة المقلدة تجعل المستخدم غير مدرك للتلاعب، مما يسمح للمهاجمين بجمع معلومات حساسة أو الوصول غير المصرح به إلى الحسابات المالية للضحية.
يواصل المتسللون البحث عن طرق لتجاوز ميزات الأمان
إن ظهور تقنيات التصيد الاحتيالي المتقدمة عبر الهاتف المحمول (mishing) يؤكد على رد الفعل تجاه التدابير الأمنية المعززة والتبني الواسع النطاق لتطبيقات تحديد هوية المتصل، والتي تم تصميمها لتحديد الأرقام المشبوهة وتنبيه المستخدمين إلى رسائل البريد العشوائي المحتملة.
في الآونة الأخيرة، قامت شركة Google باختبار مبادرة أمنية تمنع تلقائيًا التحميل الجانبي لتطبيقات Android الضارة المحتملة، بما في ذلك تلك التي تطلب خدمات إمكانية الوصول، في دول مثل سنغافورة وتايلاند والبرازيل والهند.
