Threat Database Mobile Malware FakeCalls-mobiilihaittaohjelma

FakeCalls-mobiilihaittaohjelma

Kyberturvallisuustutkijat varoittavat käyttäjiä ja yritysorganisaatioita mobiilihaittaohjelmauhkasta, jota jäljitetään nimellä "FakeCalls" Android-troijalainen. Tämä haittaohjelma pystyy jäljittelemään yli 20:tä erilaista taloussovellusta, mikä vaikeuttaa sen havaitsemista. Lisäksi FakeCalls voi myös simuloida puhelinkeskusteluja pankin työntekijöiden kanssa, mikä tunnetaan nimellä voice phishing tai vishing.

Vishing on eräänlainen sosiaalisen manipuloinnin hyökkäys, joka suoritetaan puhelimitse. Se sisältää psykologian käytön uhrien manipuloimiseksi antamaan arkaluontoisia tietoja tai suorittamaan toimia hyökkääjän puolesta. Termi "vishing" on yhdistelmä sanoista "voice" ja "phishing".

FakeCalls on erityisesti suunnattu Etelä-Korean markkinoille ja on erittäin monipuolinen. Se ei ainoastaan täytä ensisijaista tehtäväänsä, vaan sillä on myös mahdollisuus poimia henkilökohtaisia tietoja uhreilta. Tämä troijalainen on verrattavissa Sveitsin armeijan veitseen monikäyttöisen toiminnallisuutensa ansiosta. Tiedot uhasta julkaisivat Check Point Researchin infosec-asiantuntijoiden raportissa.

Vishing on vaarallinen kyberrikollinen taktiikka

Äänenkalastelu, joka tunnetaan myös nimellä vishing, on eräänlainen sosiaalinen manipulointijärjestelmä, jonka tarkoituksena on huijata uhrit uskomaan, että he kommunikoivat laillisen pankkityöntekijän kanssa. Tämä saavutetaan luomalla väärennetty verkkopankki- tai maksujärjestelmäsovellus, joka jäljittelee todellista rahoituslaitosta. Tämän jälkeen hyökkääjät tarjoavat uhrille väärennettyä lainaa pienemmällä korolla, jonka uhri saattaa houkutella hyväksymään hakemuksen laillisuuden vuoksi.

Hyökkääjät käyttävät tätä tilaisuutta voittaakseen uhrin luottamuksen ja saadakseen hänen luottokorttitietonsa. He tekevät tämän korvaamalla haittaohjelmaoperaattoreille kuuluvan puhelinnumeron laillisella pankkinumerolla keskustelun aikana. Tämä antaa vaikutelman, että keskustelu on oikean pankin ja sen työntekijän kanssa. Kun uhrin luottamus on vakiintunut, häntä huijataan "vahvistamaan" luottokorttitietonsa osana prosessia väärennetyn lainan saamiseksi.

FakeCalls Android Troijalainen voi naamioitua yli 20 erilaiseksi taloussovellukseksi ja simuloida puhelinkeskusteluja pankin työntekijöiden kanssa. Luettelo organisaatioista, joita matkittiin, sisältää pankit, vakuutusyhtiöt ja verkkokauppapalvelut. Uhrit eivät tiedä, että haittaohjelma sisältää piilotettuja "ominaisuuksia", kun he asentavat "luotettavan" verkkopankkisovelluksen vankasta organisaatiosta.

FakeCalls-haittaohjelmat on varustettu ainutlaatuisilla havaitsemisen estotekniikoilla

Check Point Research on löytänyt yli 2500 näytettä FakeCalls-haittaohjelmasta. Nämä näytteet vaihtelevat jäljiteltyjen rahoitusorganisaatioiden ja toteutettujen veronkiertotekniikoiden yhdistelmän osalta. Haittaohjelmien kehittäjät ovat ryhtyneet ylimääräisiin varotoimiin suojatakseen luomuksiaan ottamalla käyttöön useita ainutlaatuisia evaasiotekniikoita, joita ei ollut ennen nähty.

Muiden ominaisuuksiensa lisäksi FakeCalls-haittaohjelma voi siepata suoria ääni- ja videovirtoja tartunnan saaneen laitteen kamerasta ja lähettää ne Command-and-Control (C&C) -palvelimille avoimen lähdekoodin kirjaston avulla. Haittaohjelma voi myös saada C&C-palvelimelta komennon vaihtaa kameraa suoratoiston aikana.

Haittaohjelmien kehittäjät ovat ottaneet käyttöön useita menetelmiä pitääkseen todelliset C&C-palvelimensa piilossa. Yksi näistä menetelmistä sisältää tietojen lukemisen Google Driven dead drop -ratkaisujen kautta tai mielivaltaisen verkkopalvelimen avulla. Dead drop -ratkaisu on tekniikka, jossa haitallista sisältöä tallennetaan laillisiin verkkopalveluihin. Haitalliset verkkotunnukset ja IP-osoitteet piilotetaan kommunikoinnin naamioimiseksi todellisten C&C-palvelimien kanssa. Yli 100 yksilöityä IP-osoitetta on tunnistettu käsiteltäessä kuolleiden pisaroiden ratkaisejien tietoja. Toinen muunnelma sisältää haittaohjelman, joka on koodannut salatun linkin tiettyyn ratkaisijaan, joka sisältää asiakirjan, jossa on salattu palvelinkokoonpano.

Trendaavat

Eniten katsottu

Ladataan...