FakeCall Vishing -haittaohjelma
Kyberturvallisuustutkijat ovat löytäneet uuden muunnelman tunnetusta Android-uhkaperheestä, FakeCallista, joka käyttää ääni-phishing- tai "vishing"-tekniikoita huijatakseen käyttäjiä paljastamaan henkilökohtaisia tietojaan.
Tämä kehittynyt vishing-hyökkäys perustuu haittaohjelmiin, jotka voivat saada laajan hallinnan tartunnan saaneen mobiililaitteen yli, jopa siepata sekä saapuvat että lähtevät puhelut. Uhrit saatetaan uskomaan, että he osallistuvat laillisiin puheluihin. Sen sijaan ne ovat yhteydessä hyökkääjän hallinnoimiin petollisiin numeroihin, samalla kun he kokevat tutun käyttöliittymän laitteellaan.
Myös FakeCall- ja Letscall-nimellä jäljitetty FakeCall on tietoturvatutkijat tutkinut sitä laajasti sen ilmestymisestä huhtikuussa 2022 lähtien, ja aikaisemmat hyökkäysaallot kohdistuivat pääasiassa matkapuhelinkäyttäjiin Etelä-Koreassa.
Sisällysluettelo
FakeCall kerää tiedot uhrien näytöiltä
Seuraavat pakettien nimet liittyvät haittaohjelmia levittäviin dropper-sovelluksiin:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- Xkeqoi.iochvm.vmyab
Kuten muutkin Android-pankkiuhat, FakeCall käyttää väärin esteettömyyspalvelujen sovellusliittymiä saadakseen laitteen hallinnan ja suorittaakseen haitallisia toimia. Se hyödyntää näitä sovellusliittymiä kerätäkseen näytöllä olevia tietoja ja myöntääkseen itselleen lisäoikeuksia tarpeen mukaan.
Haittaohjelman vakoilumahdollisuudet ovat laajat, joten se voi kerätä tietoja, kuten tekstiviestejä, yhteystietoja, sijainteja ja asennettuja sovelluksia. Se voi myös ottaa kuvia, tallentaa suoria lähetyksiä sekä etu- että takakameroista, lisätä ja poistaa yhteystietoja, kaapata äänikatkelmia, ladata kuvia ja simuloida suoraa videosyötettä laitteen toiminnoista MediaProjection API:n avulla.
FakeCall-haittaohjelman näyttämät ovelat uudet taktiikat
Haittaohjelman äskettäin paljastuneet versiot on parannettu seuraamaan sekä Bluetoothin tilaa että laitteen näytön toimintaa. Uhkaa kuitenkin lisää merkittävästi sen taktiikka, jonka mukaan käyttäjää kehotetaan asettamaan sovellus oletusvalitsimeksi, jolloin se voi seurata ja käsitellä kaikkia saapuvia ja lähteviä puheluita.
Tämän pääsyn avulla FakeCall ei vain sieppaa puheluja, vaan myös muuttaa valittuja numeroita. Esimerkiksi pankille tarkoitetut puhelut voidaan ohjata hyökkääjän hallinnassa oleviin petollisiin numeroihin, jolloin uhrit huijataan tahattomiin toimiin.
FakeCallin aikaisemmat versiot kehottivat käyttäjiä soittamaan pankkiinsa sovelluksen kautta, esiintyen usein erilaisina rahoituslaitoksina ja esittäen vääriä lainatarjouksia houkuttelevilla koroilla. Kun vaarantunut käyttäjä yrittää soittaa pankkiinsa, haittaohjelma reitittää puhelun uudelleen hyökkääjän hallitsemaan petolliseen numeroon.
Uhkaava sovellus pettää käyttäjiä vakuuttavalla valekäyttöliittymällä, joka muistuttaa Android-puhelunäyttöä ja näyttää oikean pankin puhelinnumeron. Tämä jäljitelty käyttöliittymä tekee käyttäjän tietämättömäksi manipuloinnista, jolloin hyökkääjät voivat kerätä arkaluontoisia tietoja tai päästä luvattomasti uhrin taloustileille.
Hakkerit etsivät edelleen tapoja ohittaa suojausominaisuudet
Kehittyneiden mobiilitietojen kalastelutekniikoiden (mishing) nousu korostaa reaktiota tehostettuihin turvatoimiin ja soittajantunnistussovellusten laajalle levinneisyyteen. Sovellukset on suunniteltu tunnistamaan epäilyttävät numerot ja varoittamaan käyttäjiä mahdollisesta roskapostista.
Google on äskettäin testannut tietoturvaaloitetta, joka estää automaattisesti mahdollisesti haitallisten Android-sovellusten sivulatauksen, mukaan lukien esteettömyyspalveluita pyytävät sovellukset, esimerkiksi Singaporessa, Thaimaassa, Brasiliassa ja Intiassa.
