Mobilní malware 'FakeCalls'

Výzkumníci v oblasti kybernetické bezpečnosti varují uživatele i obchodní organizace před hrozbou mobilního malwaru sledovanou jako trojský kůň Android „FakeCalls“. Tento škodlivý software má schopnost napodobovat více než 20 různých finančních aplikací, takže je obtížné jej odhalit. Kromě toho mohou FakeCalls také simulovat telefonní rozhovory se zaměstnanci banky, což je známé jako voice phishing nebo vishing.

Vishing je typ útoku sociálního inženýrství, který se provádí po telefonu. Zahrnuje použití psychologie k manipulaci obětí, aby poskytly citlivé informace nebo provedly akce jménem útočníka. Výraz „vishing“ je kombinací slov „hlas“ a „phishing“.

FakeCalls je specificky zaměřena na jihokorejský trh a je vysoce univerzální. Nejenže plní svou primární funkci, ale má také schopnost extrahovat soukromá data z obětí. Tento trojan je díky své víceúčelové funkčnosti srovnatelný se švýcarským nožem. Podrobnosti o hrozbě byly zveřejněny ve zprávě expertů infosec z Check Point Research.

Vishing je nebezpečná taktika kyberzločinu

Hlasový phishing, také známý jako vishing, je druh schématu sociálního inženýrství, jehož cílem je oklamat oběti, aby uvěřily, že komunikují s legitimním zaměstnancem banky. Toho je dosaženo vytvořením falešné aplikace internetového bankovnictví nebo platebního systému, která napodobuje skutečnou finanční instituci. Útočníci pak oběti nabídnou falešnou půjčku s nižší úrokovou sazbou, kterou může oběť svádět k přijetí kvůli domnělé legitimitě žádosti.

Útočníci využívají této příležitosti k získání důvěry oběti a získání údajů o její kreditní kartě. Dělají to tak, že během konverzace nahradí telefonní číslo patřící provozovatelům malwaru legitimním bankovním číslem. To vytváří dojem, že rozhovor je se skutečnou bankou a jejím zaměstnancem. Jakmile se získá důvěra oběti, jsou oklamáni, aby „potvrdili“ údaje o své kreditní kartě jako součást procesu kvalifikace pro falešnou půjčku.

Trojan FakeCalls Android se může maskovat jako více než 20 různých finančních aplikací a simulovat telefonní rozhovory se zaměstnanci banky. Seznam organizací, které byly napodobeny, zahrnuje banky, pojišťovny a online nákupní služby. Oběti si při instalaci „důvěryhodné“ aplikace internetového bankovnictví od solidní organizace neuvědomují, že malware obsahuje skryté „funkce“.

Malware FakeCalls je vybaven jedinečnými antidetekčními technikami

Check Point Research objevilo více než 2500 vzorků malwaru FakeCalls. Tyto vzorky se liší kombinací napodobených finančních organizací a implementovaných technik úniku. Vývojáři malwaru přijali zvláštní opatření k ochraně svého výtvoru implementací několika jedinečných technik úniku, které dosud nebyly k vidění.

Kromě svých dalších schopností dokáže malware FakeCalls zachytit živé audio a video streamy z kamery infikovaného zařízení a odeslat je na servery Command-and-Control (C&C) pomocí otevřené knihovny. Malware může také obdržet příkaz ze serveru C&C k přepnutí kamery během živého vysílání.

Aby vývojáři malwaru udrželi své skutečné servery C&C skryté, implementovali několik metod. Jedna z těchto metod zahrnuje čtení dat prostřednictvím překladačů mrtvých kapek na Disku Google nebo pomocí libovolného webového serveru. Dead drop resolver je technika, při které je škodlivý obsah uložen na legitimních webových službách. Škodlivé domény a IP adresy jsou skryté, aby zakryly komunikaci se skutečnými servery C&C. Přes 100 jedinečných IP adres bylo identifikováno zpracováním dat z překladačů mrtvých kapek. Další variantou je, že malware napevno zakódoval zašifrovaný odkaz na konkrétní resolver, který obsahuje dokument se zašifrovanou konfigurací serveru.