FakeCall Vishing pahavara
Küberjulgeoleku uurijad on avastanud tuntud Androidi ohtude perekonna FakeCall uue variandi, mis kasutab andmepüügi või nn vishimise tehnikaid, et petta kasutajaid oma isikuandmeid avaldama.
See täiustatud vishing-rünnak tugineb pahavarale, mis suudab nakatunud mobiilseadme üle ulatusliku kontrolli saavutada, isegi nii sissetulevaid kui ka väljaminevaid kõnesid pealt kuulates. Ohvreid pannakse uskuma, et nad osalevad seaduslikes kõnedes. Selle asemel on nad ühendatud petturlike numbritega, mida haldab ründaja, ja samal ajal kogevad nende seadmes tuttavat liidest.
FakeCalli, mida jälgitakse ka nimetustega FakeCalls ja Letscall, on infoturbeteadlased põhjalikult uurinud alates selle ilmumisest 2022. aasta aprillis, kusjuures varasemad rünnakulained olid peamiselt suunatud Lõuna-Korea mobiilikasutajatele.
Sisukord
FakeCall kogub ohvrite ekraanidelt teavet
Järgmised paketinimed on seotud pahavara levitavate dropperrakendustega:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- Xkeqoi.iochvm.vmyab
Sarnaselt teistele Androidi pangandusohtudele väärkasutab FakeCall hõlbustusteenuste API-sid, et omandada seadme juhtimine ja sooritada pahatahtlikke tegevusi. See kasutab neid API-sid, et koguda ekraanil kuvatavat teavet ja anda endale vajaduse korral täiendavaid õigusi.
Pahavara spionaaživõimalused on ulatuslikud, võimaldades sellel koguda andmeid, nagu SMS-sõnumid, kontaktid, asukohad ja installitud rakendused. Samuti saab sellega MediaProjection API abil teha pilte, salvestada otseülekandeid nii esi- kui ka tagakaamerast, lisada ja eemaldada kontakte, jäädvustada helilõike, üles laadida pilte ja simuleerida seadme toimingute otsevideovoogu.
FakeCalli ründevara kuvatud uus kelmikas taktika
Äsja paljastatud pahavara versioone on täiustatud, et jälgida nii Bluetoothi olekut kui ka seadme ekraanitegevust. Ohtu suurendab aga oluliselt selle taktika, mille kohaselt kasutajal palutakse määrata rakendus vaikevalijaks, mis võimaldab tal jälgida ja manipuleerida kõiki sissetulevaid ja väljaminevaid kõnesid.
See juurdepääs võimaldab FakeCallil mitte ainult kõnesid pealt kuulata, vaid ka valitud numbreid muuta. Näiteks saab pangale mõeldud kõned suunata ründaja kontrolli all olevatele petturitele numbritele, pettes ohvreid ettekavatsematutele tegudele.
FakeCalli varasemad versioonid kutsusid kasutajaid algatama oma pangale kõnesid rakenduse enda kaudu, esinedes sageli erinevate finantsasutustena ja esitades atraktiivsete intressimääradega võltslaenupakkumisi. Kui ohustatud kasutaja üritab oma panka helistada, suunab pahavara kõne ümber petturlikule numbrile, mida kontrollib ründaja.
Ähvardav rakendus petab kasutajaid veenva võltsliidesega, mis meenutab Androidi kõneekraani, kuvades tegeliku panga telefoninumbri. See jäljendatud liides muudab kasutaja manipuleerimisest teadlikuks, võimaldades ründajatel koguda tundlikku teavet või saada volitamata juurdepääsu ohvri finantskontodele.
Häkkerid otsivad jätkuvalt viise, kuidas turvafunktsioonidest mööda hiilida
Täiustatud mobiilsete andmepüügi (mishing) tehnikate levik rõhutab reaktsiooni täiustatud turvameetmetele ja helistaja tuvastamise rakenduste laialdast kasutuselevõttu, mis on loodud kahtlaste numbrite tuvastamiseks ja kasutajate hoiatamiseks võimaliku rämpsposti eest.
Hiljuti on Google katsetanud turvaalgatust, mis takistab automaatselt potentsiaalselt kahjulike Androidi rakenduste (sh juurdepääsetavuse teenuseid taotlevate) külglaadimist sellistes riikides nagu Singapur, Tai, Brasiilia ja India.
