FakeCall Vishing Malware

Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou variantu známé rodiny hrozeb pro Android, FakeCall, která využívá techniky hlasového phishingu nebo „visingu“ k oklamání uživatelů, aby prozradili své osobní údaje.

Tento pokročilý vishing útok spoléhá na malware, který dokáže získat rozsáhlou kontrolu nad infikovaným mobilním zařízením, a to i zachycováním příchozích i odchozích hovorů. Oběti jsou vedeny k přesvědčení, že se zapojují do legitimních hovorů. Místo toho jsou připojeni k podvodným číslům spravovaným útočníkem, a to vše při používání známého rozhraní na svém zařízení.

FakeCall, který je také sledován jako FakeCalls a Letscall, byl od svého objevení v dubnu 2022 rozsáhle studován výzkumníky informační bezpečnosti, přičemž dřívější vlny útoků se zaměřovaly převážně na mobilní uživatele v Jižní Koreji.

FakeCall sbírá informace z obrazovek obětí

Následující názvy balíčků jsou spojeny s aplikacemi typu dropper, které distribuují malware:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.asistent
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Stejně jako jiné bankovní hrozby pro Android i FakeCall zneužívá API služeb přístupnosti k získání kontroly nad zařízením a provádění škodlivých činností. Využívá tato rozhraní API k zachycení informací na obrazovce a podle potřeby si uděluje další oprávnění.

Špionážní schopnosti malwaru jsou rozsáhlé a umožňují shromažďovat data, jako jsou SMS zprávy, kontakty, umístění a nainstalované aplikace. Dokáže také pořizovat snímky, nahrávat živé přenosy z přední i zadní kamery, přidávat a odstraňovat kontakty, zaznamenávat zvukové úryvky, nahrávat obrázky a simulovat živý video přenos akcí zařízení pomocí MediaProjection API.

Devious New Tactics zobrazená malwarem FakeCall

Nově odhalené verze malwaru byly vylepšeny tak, aby monitorovaly jak stav Bluetooth, tak aktivitu obrazovky na zařízení. Co však výrazně zvyšuje hrozbu, je jeho taktika vyzvat uživatele, aby nastavil aplikaci jako výchozí dialer, což jí umožňuje sledovat a manipulovat se všemi příchozími a odchozími hovory.

Tento přístup umožňuje FakeCall nejen odposlouchávat hovory, ale také měnit volaná čísla. Například hovory určené pro banku mohou být přesměrovány na podvodná čísla pod kontrolou útočníka, čímž oběti klamou k nezamýšleným akcím.

Dřívější verze FakeCall vyzývaly uživatele, aby zahájili hovory do své banky prostřednictvím samotné aplikace, často se vydávali za různé finanční instituce a představovali falešné nabídky půjček s atraktivními úrokovými sazbami. Když se napadený uživatel pokusí dovolat své bance, malware přesměruje hovor na podvodné číslo kontrolované útočníkem.

Hrozivá aplikace klame uživatele přesvědčivým falešným rozhraním, které připomíná obrazovku hovoru Androidu a zobrazuje telefonní číslo skutečné banky. Toto napodobené rozhraní způsobí, že uživatel neví o manipulaci, což umožňuje útočníkům shromažďovat citlivé informace nebo získat neoprávněný přístup k finančním účtům oběti.

Hackeři nadále hledají způsoby, jak obejít bezpečnostní funkce

Vzestup pokročilých technik mobilního phishingu (mishing) podtrhuje reakci na vylepšená bezpečnostní opatření a široké přijetí aplikací pro identifikaci volajících, které jsou navrženy tak, aby identifikovaly podezřelá čísla a upozorňovaly uživatele na potenciální spam.

Google nedávno testoval bezpečnostní iniciativu, která automaticky zabraňuje načítání potenciálně škodlivých aplikací pro Android, včetně těch, které vyžadují služby usnadnění, v zemích jako Singapur, Thajsko, Brazílie a Indie.