Programari maliciós mòbil 'FakeCalls'
Els investigadors de ciberseguretat adverteixen tant als usuaris com a les organitzacions empresarials sobre una amenaça de programari maliciós per a mòbils rastrejada com a troià d'Android "FakeCalls". Aquest programari maliciós té la capacitat d'imitar més de 20 aplicacions financeres diferents, cosa que fa que sigui difícil de detectar. A més, FakeCalls també pot simular converses telefòniques amb empleats del banc, que es coneix com a pesca de veu o vishing.
El vishing és un tipus d'atac d'enginyeria social que es realitza per telèfon. Implica utilitzar la psicologia per manipular les víctimes perquè proporcionin informació sensible o realitzin accions en nom de l'atacant. El terme "vishing" és una combinació de les paraules "veu" i "phishing".
FakeCalls s'adreça específicament al mercat de Corea del Sud i és molt versàtil. No només compleix la seva funció principal, sinó que també té la capacitat d'extreure dades privades de les víctimes. Aquest troià és comparable a un ganivet de l'exèrcit suís a causa de la seva funcionalitat polivalent. Els detalls sobre l'amenaça es van publicar en un informe dels experts en infosec de Check Point Research.
El vishing és una tàctica cibercriminal perillosa
La pesca de veu, també coneguda com a vishing, és un tipus d'esquema d'enginyeria social que té com a objectiu enganyar les víctimes perquè creguin que s'estan comunicant amb un empleat legítim del banc. Això s'aconsegueix creant una banca per Internet falsa o una aplicació de sistema de pagament que imita una institució financera real. Aleshores, els atacants ofereixen a la víctima un préstec fals amb un tipus d'interès més baix, que la víctima pot tenir la temptació d'acceptar a causa de la legitimitat percebuda de la sol·licitud.
Els atacants aprofiten aquesta oportunitat per guanyar-se la confiança de la víctima i obtenir les dades de la seva targeta de crèdit. Ho fan substituint el número de telèfon dels operadors de programari maliciós per un número de banc legítim durant la conversa. Això dóna la impressió que la conversa és amb un banc real i el seu empleat. Un cop establerta la confiança de la víctima, se'ls enganya perquè "confirmin" les dades de la seva targeta de crèdit com a part del procés per qualificar per al préstec fals.
El troià d'Android FakeCalls pot fer-se passar per més de 20 aplicacions financeres diferents i simular converses telefòniques amb els empleats del banc. La llista d'organitzacions imitades inclou bancs, companyies d'assegurances i serveis de compres en línia. Les víctimes no saben que el programari maliciós conté "característiques" ocultes quan instal·len l'aplicació de banca per Internet "de confiança" d'una organització sòlida.
El programari maliciós FakeCalls està equipat amb tècniques antidetecció úniques
Check Point Research ha descobert més de 2500 mostres del programari maliciós FakeCalls. Aquestes mostres varien en la combinació d'organitzacions financeres imitades i tècniques d'evasió implementades. Els desenvolupadors de programari maliciós han pres precaucions addicionals per protegir la seva creació mitjançant la implementació de diverses tècniques d'evasió úniques que no s'havien vist abans.
A més de les seves altres capacitats, el programari maliciós FakeCalls pot capturar fluxos d'àudio i vídeo en directe de la càmera del dispositiu infectat i enviar-los als servidors de comandament i control (C&C) amb l'ajuda d'una biblioteca de codi obert. El programari maliciós també pot rebre una ordre del servidor C&C per canviar la càmera durant la transmissió en directe.
Per mantenir amagats els seus servidors C&C reals, els desenvolupadors de programari maliciós han implementat diversos mètodes. Un d'aquests mètodes consisteix a llegir dades mitjançant solucionadors de gota morta a Google Drive o utilitzar un servidor web arbitrari. La resolució de gota morta és una tècnica en què el contingut maliciós s'emmagatzema en serveis web legítims. Els dominis i adreces IP maliciosos s'oculten per dissimular la comunicació amb servidors C&C reals. S'han identificat més de 100 adreces IP úniques mitjançant el processament de dades dels solucionadors de gota morta. Una altra variant implica que el programari maliciós hagi codificat en dur un enllaç xifrat a un solucionador específic que conté un document amb una configuració de servidor xifrada.
