بدافزار Vishing FakeCall

محققان امنیت سایبری نوع جدیدی از خانواده تهدیدات معروف اندروید به نام FakeCall را کشف کرده‌اند که از تکنیک‌های فیشینگ صوتی یا «ویشینگ» برای فریب کاربران برای افشای اطلاعات شخصی‌شان استفاده می‌کند.

این حمله پیشرفته ویشینگ متکی به بدافزار است که می‌تواند کنترل گسترده‌ای بر دستگاه تلفن همراه آلوده به دست آورد، حتی تماس‌های ورودی و خروجی را رهگیری کند. قربانیان به این باور می رسند که در تماس های قانونی شرکت می کنند. در عوض، آن‌ها به شماره‌های جعلی که توسط مهاجم مدیریت می‌شوند وصل می‌شوند، در حالی که رابط کاربری آشنا را در دستگاه خود تجربه می‌کنند.

FakeCall که به‌عنوان FakeCalls و Letscall نیز ردیابی می‌شود، از زمان ظهور آن در آوریل 2022 توسط محققان امنیت اطلاعات به‌طور گسترده مورد مطالعه قرار گرفته است، با امواج حمله قبلی که عمدتاً کاربران تلفن همراه در کره جنوبی را هدف قرار می‌دهند.

FakeCall اطلاعات را از صفحه نمایش قربانیان جمع آوری می کند

نام بسته های زیر با برنامه های dropper که بدافزار را توزیع می کنند مرتبط است:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

مانند سایر تهدیدات بانکی اندروید، FakeCall از APIهای خدمات دسترسی برای به دست آوردن کنترل دستگاه و انجام فعالیت های مخرب سوء استفاده می کند. از این APIها برای گرفتن اطلاعات روی صفحه استفاده می کند و در صورت نیاز به خود مجوزهای اضافی می دهد.

قابلیت‌های جاسوسی این بدافزار گسترده است و آن را قادر می‌سازد داده‌هایی مانند پیام‌های SMS، مخاطبین، مکان‌ها و برنامه‌های نصب شده را جمع‌آوری کند. همچنین می‌تواند عکس بگیرد، جریان‌های زنده را از دوربین‌های جلو و عقب ضبط کند، مخاطبین را اضافه و حذف کند، قطعه‌های صوتی را ضبط کند، تصاویر را آپلود کند و با استفاده از MediaProjection API یک فید ویدیوی زنده از اقدامات دستگاه را شبیه‌سازی کند.

تاکتیک های جدید حیله گر که توسط بدافزار FakeCall نمایش داده شده است

نسخه‌های تازه کشف‌شده این بدافزار برای نظارت بر وضعیت بلوتوث و فعالیت صفحه نمایش روی دستگاه بهبود یافته‌اند. با این حال، چیزی که به طور قابل توجهی این تهدید را تشدید می‌کند، تاکتیک آن است که از کاربر می‌خواهد برنامه را به عنوان شماره‌گیر پیش‌فرض تنظیم کند، و آن را قادر می‌سازد تمام تماس‌های ورودی و خروجی را ردیابی و دستکاری کند.

این دسترسی به FakeCall اجازه می دهد تا نه تنها تماس ها را رهگیری کند، بلکه اعداد شماره گیری شده را نیز تغییر دهد. به عنوان مثال، تماس های در نظر گرفته شده برای یک بانک را می توان به شماره های سرکش تحت کنترل مهاجم هدایت کرد و قربانیان را فریب داد تا اقدامات ناخواسته انجام دهند.

نسخه‌های قبلی FakeCall کاربران را وادار می‌کرد تا از طریق خود برنامه با بانک خود تماس بگیرند و اغلب به عنوان مؤسسات مالی مختلف ظاهر می‌شوند و پیشنهادات وام جعلی با نرخ‌های بهره جذاب ارائه می‌دهند. هنگامی که یک کاربر در معرض خطر تلاش می کند با بانک خود تماس بگیرد، بدافزار تماس را به یک شماره جعلی که توسط مهاجم کنترل می شود تغییر مسیر می دهد.

این برنامه تهدیدآمیز با یک رابط جعلی متقاعد کننده که شبیه صفحه تماس اندروید است، کاربران را فریب می دهد و شماره تلفن بانک واقعی را نشان می دهد. این رابط تقلید شده کاربر را از دستکاری بی خبر می کند و به مهاجمان اجازه می دهد اطلاعات حساس را جمع آوری کنند یا به حساب های مالی قربانی دسترسی غیرمجاز داشته باشند.

هکرها به دنبال راه هایی برای دور زدن ویژگی های امنیتی هستند

ظهور تکنیک‌های پیشرفته فیشینگ تلفن همراه (ماشینگ) بر واکنش به اقدامات امنیتی پیشرفته و پذیرش گسترده برنامه‌های شناسایی تماس‌گیرنده تأکید می‌کند که برای شناسایی شماره‌های مشکوک و هشدار به کاربران در مورد هرزنامه‌های احتمالی طراحی شده‌اند.

اخیراً، Google در حال آزمایش یک ابتکار امنیتی است که به طور خودکار از بارگذاری جانبی برنامه‌های بالقوه مضر اندروید، از جمله برنامه‌هایی که درخواست خدمات دسترسی دارند، در کشورهایی مانند سنگاپور، تایلند، برزیل و هند جلوگیری می‌کند.