FakeCall Vishing Malware

Cybersikkerhedsforskere har afsløret en ny variant af den velkendte Android-trusselsfamilie, FakeCall, som bruger voice phishing eller 'vishing' teknikker til at narre brugere til at afsløre deres personlige oplysninger.

Dette avancerede vishing-angreb er afhængig af malware, der kan få omfattende kontrol over en inficeret mobilenhed, endda opsnappe både indgående og udgående opkald. Ofre forledes til at tro, at de deltager i lovlige opkald. I stedet er de forbundet til svigagtige numre, der administreres af angriberen, alt imens de oplever en velkendt grænseflade på deres enhed.

Også sporet som FakeCalls og Letscall, er FakeCall blevet undersøgt grundigt af informationssikkerhedsforskere siden dets fremkomst i april 2022, med tidligere angrebsbølger, der overvejende var rettet mod mobilbrugere i Sydkorea.

FakeCall høster oplysninger fra ofrenes skærme

Følgende pakkenavne er forbundet med dropper-applikationer, der distribuerer malwaren:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistent
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Ligesom andre Android-banktrusler misbruger FakeCall tilgængelighedstjenester API'er til at få enhedskontrol og udføre ondsindede aktiviteter. Det udnytter disse API'er til at fange information på skærmen og give sig selv yderligere tilladelser efter behov.

Malwarens spionagemuligheder er omfattende, hvilket gør det muligt for den at indsamle data såsom SMS-beskeder, kontakter, lokationer og installerede applikationer. Den kan også tage billeder, optage live-streams fra både front- og bagkamera, tilføje og fjerne kontakter, fange lyduddrag, uploade billeder og simulere et live-videofeed af enhedshandlinger ved hjælp af MediaProjection API.

Den underfundige nye taktik, der vises af FakeCall-malwaren

De nyligt afdækkede versioner af malwaren er blevet forbedret til at overvåge både Bluetooth-status og skærmaktivitet på enheden. Men det, der markant øger truslen, er dens taktik med at bede brugeren om at indstille applikationen som standardopkald, hvilket gør det muligt for den at spore og manipulere alle indgående og udgående opkald.

Denne adgang giver FakeCall ikke kun mulighed for at aflytte opkald, men også at ændre opkaldte numre. For eksempel kan opkald beregnet til en bank omdirigeres til useriøse numre under angriberens kontrol, og bedrage ofrene til at foretage utilsigtede handlinger.

Tidligere versioner af FakeCall ville få brugerne til at starte opkald til deres bank gennem selve applikationen, ofte udgive sig for forskellige finansielle institutioner og præsentere falske lånetilbud med attraktive renter. Når en kompromitteret bruger forsøger at ringe til deres bank, omdirigerer malwaren opkaldet til et svigagtigt nummer, der kontrolleres af angriberen.

Den truende applikation bedrager brugerne med en overbevisende falsk grænseflade, der ligner Android-opkaldsskærmen, der viser den rigtige banks telefonnummer. Denne efterlignede grænseflade gør brugeren uvidende om manipulationen, hvilket tillader angribere at indsamle følsomme oplysninger eller få uautoriseret adgang til ofrets økonomiske konti.

Hackere fortsætter med at lede efter måder at omgå sikkerhedsfunktioner på

Fremkomsten af avancerede mobile phishing-teknikker (mishing) understreger en reaktion på forbedrede sikkerhedsforanstaltninger og den udbredte anvendelse af opkaldsidentifikationsapps, som er designet til at identificere mistænkelige numre og advare brugere om potentiel spam.

For nylig har Google testet et sikkerhedsinitiativ, der automatisk forhindrer sideloading af potentielt skadelige Android-apps, inklusive dem, der anmoder om tilgængelighedstjenester, i lande som Singapore, Thailand, Brasilien og Indien.