بدافزار موبایل "FakeCalls".
محققان امنیت سایبری به کاربران و سازمان های تجاری به طور یکسان در مورد یک تهدید بدافزار تلفن همراه که تحت عنوان تروجان اندروید «FakeCalls» ردیابی می شود، هشدار می دهند. این نرم افزار مخرب توانایی تقلید بیش از 20 برنامه مالی مختلف را دارد که تشخیص آن را دشوار می کند. علاوه بر این، FakeCalls همچنین می تواند مکالمات تلفنی با کارمندان بانک را شبیه سازی کند، که به عنوان فیشینگ صوتی یا vishing شناخته می شود.
Vishing نوعی حمله مهندسی اجتماعی است که از طریق تلفن انجام می شود. این شامل استفاده از روانشناسی برای دستکاری قربانیان برای ارائه اطلاعات حساس یا انجام اقدامات از طرف مهاجم است. اصطلاح "ویشینگ" ترکیبی از دو کلمه "صدا" و "فیشینگ" است.
FakeCalls به طور خاص بازار کره جنوبی را هدف قرار داده است و بسیار متنوع است. این نه تنها وظیفه اصلی خود را انجام می دهد، بلکه توانایی استخراج داده های خصوصی از قربانیان را نیز دارد. این تروجان به دلیل عملکرد چند منظوره با یک چاقوی ارتش سوئیس قابل مقایسه است. جزئیات این تهدید در گزارشی توسط کارشناسان infosec در Check Point Research منتشر شد.
Vishing یک تاکتیک خطرناک سایبری است
فیشینگ صوتی، که به عنوان ویشینگ نیز شناخته میشود، نوعی طرح مهندسی اجتماعی است که هدف آن فریب قربانیان به این باور است که با یک کارمند قانونی بانک ارتباط برقرار میکنند. این امر با ایجاد یک برنامه بانکداری اینترنتی یا سیستم پرداخت جعلی که شبیه یک موسسه مالی واقعی است، به دست می آید. سپس مهاجمان به قربانی وام جعلی با نرخ بهره پایینتر پیشنهاد میکنند، که قربانی ممکن است به دلیل مشروعیت درک شده درخواست، وسوسه شود که آن را بپذیرد.
مهاجمان از این فرصت برای جلب اعتماد قربانی و به دست آوردن اطلاعات کارت اعتباری آنها استفاده می کنند. آنها این کار را با جایگزین کردن شماره تلفن متعلق به اپراتورهای بدافزار با یک شماره بانک قانونی در طول مکالمه انجام می دهند. این تصور را ایجاد می کند که گفتگو با یک بانک واقعی و کارمند آن است. هنگامی که اعتماد قربانی ایجاد شد، آنها فریب داده می شوند تا جزئیات کارت اعتباری خود را به عنوان بخشی از فرآیند واجد شرایط بودن برای وام جعلی تأیید کنند.
تروجان اندروید FakeCalls می تواند در قالب بیش از 20 برنامه مالی مختلف ظاهر شود و مکالمات تلفنی با کارمندان بانک را شبیه سازی کند. لیست سازمان هایی که مورد تقلید قرار گرفتند شامل بانک ها، شرکت های بیمه و خدمات خرید آنلاین می شود. قربانیان هنگام نصب برنامه بانکداری اینترنتی «معتبر» از یک سازمان قوی، از این که بدافزار حاوی «ویژگیهای» پنهانی است، آگاه نیستند.
بدافزار FakeCalls مجهز به تکنیک های منحصر به فرد ضد تشخیص است
بیش از 2500 نمونه از بدافزار FakeCalls توسط Check Point Research کشف شده است. این نمونه ها در ترکیبی از سازمان های مالی تقلید شده و تکنیک های فرار اجرا شده متفاوت هستند. توسعه دهندگان بدافزار اقدامات احتیاطی بیشتری را برای محافظت از ساخت خود با اجرای چندین تکنیک فرار منحصر به فرد که قبلاً دیده نشده بود، انجام داده اند.
بدافزار FakeCalls علاوه بر سایر قابلیتهای خود، میتواند جریانهای صوتی و تصویری زنده را از دوربین دستگاه آلوده گرفته و با کمک یک کتابخانه منبع باز به سرورهای Command-and-Control (C&C) ارسال کند. این بدافزار همچنین میتواند فرمانی را از سرور C&C دریافت کند تا دوربین را در جریان پخش زنده تغییر دهد.
برای مخفی نگه داشتن سرورهای C&C واقعی خود، توسعه دهندگان بدافزار چندین روش را پیاده سازی کرده اند. یکی از این روشها شامل خواندن دادهها از طریق حلکنندههای مرگ مرده در Google Drive یا استفاده از یک وب سرور دلخواه است. Dead drop Resolver تکنیکی است که در آن محتوای مخرب در سرویس های وب قانونی ذخیره می شود. دامنههای مخرب و آدرسهای IP برای پنهان کردن ارتباط با سرورهای C&C واقعی پنهان شدهاند. بیش از 100 آدرس IP منحصربهفرد از طریق پردازش دادههای ریزشکنندههای مرده شناسایی شدهاند. نوع دیگر شامل این است که بدافزار یک پیوند رمزگذاری شده را به یک حل کننده خاص که حاوی سندی با پیکربندی سرور رمزگذاری شده است، کدگذاری کرده است.