'FakeCalls' mobiili pahavara

Küberturvalisuse teadlased hoiatavad nii kasutajaid kui ka äriorganisatsioone mobiilse pahavara ohu eest, mida jälgitakse Androidi troojalasena FakeCalls. Sellel pahatahtlikul tarkvaral on võime jäljendada üle 20 erineva finantsrakenduse, mis muudab selle tuvastamise keeruliseks. Lisaks saab FakeCalls simuleerida ka telefonivestlusi pangatöötajatega, mida nimetatakse andmepüügiks või vishinguks.

Vishing on teatud tüüpi sotsiaalse manipuleerimise rünnak, mis viiakse läbi telefoni teel. See hõlmab psühholoogia kasutamist, et manipuleerida ohvritega tundlikku teavet andma või ründaja nimel toiminguid tegema. Mõiste „vishing” on sõnade „hääl” ja „andmepüük” kombinatsioon.

FakeCalls on spetsiaalselt suunatud Lõuna-Korea turule ja on väga mitmekülgne. See mitte ainult ei täida oma põhifunktsiooni, vaid suudab ka ohvritelt privaatseid andmeid hankida. See troojalane on oma mitmeotstarbelise funktsionaalsuse tõttu võrreldav Šveitsi armee noaga. Ohu üksikasjad avaldati Check Point Researchi infoseci ekspertide aruandes.

Vishing on ohtlik küberkurjategija taktika

Häälpüük, tuntud ka kui vishing, on teatud tüüpi sotsiaalse manipuleerimise skeem, mille eesmärk on petta ohvreid uskuma, et nad suhtlevad seadusliku pangatöötajaga. See saavutatakse võltsitud internetipanga või maksesüsteemi rakenduse loomisega, mis jäljendab tõelist finantsasutust. Seejärel pakuvad ründajad ohvrile madalama intressimääraga võltslaenu, millega kannatanul võib avalduse tajutava õiguspärasuse tõttu tekkida kiusatus vastu võtta.

Ründajad kasutavad seda võimalust ohvri usalduse võitmiseks ja nende krediitkaardiandmete hankimiseks. Nad teevad seda, asendades vestluse ajal pahavaraoperaatoritele kuuluva telefoninumbri seadusliku panganumbriga. Nii jääb mulje, et jutt käib päris panga ja selle töötajaga. Kui ohvri usaldus on loodud, meelitatakse neid võltslaenu saamise protsessi raames oma krediitkaardiandmeid "kinnitama".

FakeCalls Androidi troojalane võib maskeerida rohkem kui 20 erineva finantsrakendusena ja simuleerida telefonivestlusi pangatöötajatega. Imiteeritud organisatsioonide loend sisaldab panku, kindlustusfirmasid ja veebipõhiseid ostuteenuseid. Ohvrid ei tea, et pahavara sisaldab peidetud "funktsioone", kui nad installivad kindla organisatsiooni "usaldusväärse" Interneti-panga rakenduse.

FakeCallsi pahavara on varustatud ainulaadsete tuvastamisvastaste tehnikatega

Check Point Research on avastanud enam kui 2500 FakeCallsi pahavara näidist. Need näidised erinevad matkivate finantsorganisatsioonide ja rakendatud maksudest kõrvalehoidmise tehnikate kombinatsiooni poolest. Pahavaraarendajad on võtnud kasutusele täiendavad ettevaatusabinõud oma loomingu kaitsmiseks, rakendades mitmeid unikaalseid kõrvalehoidmistehnikaid, mida varem polnud nähtud.

Lisaks muudele võimalustele suudab FakeCallsi pahavara nakatunud seadme kaamerast jäädvustada reaalajas heli- ja videovooge ning saata need avatud lähtekoodiga teegi abil Command-and-Control (C&C) serveritesse. Pahavara võib saada ka C&C serverilt käsu otseülekande ajal kaamerat vahetada.

Oma tõeliste C&C-serverite varjamiseks on pahavara arendajad rakendanud mitmeid meetodeid. Üks neist meetoditest hõlmab andmete lugemist Google Drive'i surnud kukkumise lahendajate kaudu või suvalise veebiserveri kasutamist. Surnud tilkade lahendaja on tehnika, mille puhul pahatahtlikku sisu salvestatakse seaduslikesse veebiteenustesse. Pahatahtlikud domeenid ja IP-aadressid on peidetud, et varjata suhtlust tõeliste C&C-serveritega. Üle 100 unikaalse IP-aadressi on tuvastatud surnud tilkade lahendajate andmete töötlemisel. Teine variant hõlmab pahavara, mis on kõvasti kodeerinud krüpteeritud lingi konkreetsele lahendajale, mis sisaldab krüptitud serveri konfiguratsiooniga dokumenti.