תוכנת זדונית של FakeCall Vishing

חוקרי אבטחת סייבר חשפו גרסה חדשה של משפחת איומי האנדרואיד הידועה, FakeCall, המשתמשת בטכניקות דיוג קולי, או 'vishing', כדי להונות משתמשים לחשוף את המידע האישי שלהם.

מתקפה מתקדמת זו מסתמכת על תוכנות זדוניות שיכולות להשיג שליטה נרחבת על מכשיר נייד נגוע, אפילו ליירט שיחות נכנסות ויוצאות. קורבנות מובלים להאמין שהם עוסקים בשיחות לגיטימיות. במקום זאת, הם מחוברים למספרי הונאה המנוהלים על ידי התוקף, כל זאת תוך שהם חווים ממשק מוכר במכשיר שלהם.

FakeCall, המלווה גם כ-FakeCalls ו-Letscall, נחקרה בהרחבה על ידי חוקרי אבטחת מידע מאז הופעתה באפריל 2022, כאשר גלי התקפות מוקדמים יותר מכוונים בעיקר למשתמשים ניידים בדרום קוריאה.

FakeCall אוספת מידע ממסכי הקורבנות

שמות החבילות הבאים משויכים ליישומי טפטפת שמפיצים את התוכנה הזדונית:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

כמו איומים בנקאיים אחרים של אנדרואיד, FakeCall עושה שימוש לרעה בממשקי API של שירותי נגישות כדי להשיג שליטה במכשיר ולבצע פעילויות זדוניות. היא מנצלת ממשקי API אלה כדי ללכוד מידע על המסך ולהעניק לעצמה הרשאות נוספות לפי הצורך.

יכולות הריגול של התוכנה הזדונית הן נרחבות, ומאפשרות לה לאסוף נתונים כגון הודעות SMS, אנשי קשר, מיקומים ויישומים מותקנים. זה יכול גם לצלם תמונות, להקליט סטרימינג בשידור חי הן ממצלמה הקדמית והן מאחור, להוסיף ולהסיר אנשי קשר, ללכוד קטעי אודיו, להעלות תמונות ולדמות הזנת וידאו חיה של פעולות המכשיר באמצעות ה-API של MediaProjection.

הטקטיקות החדשות והערמומיות שמוצגות על ידי התוכנה הזדונית של FakeCall

הגרסאות החדשות שנחשפו של התוכנה הזדונית שופרו כדי לנטר הן את מצב ה-Bluetooth והן את פעילות המסך במכשיר. עם זאת, מה שמגביר באופן משמעותי את האיום הוא הטקטיקה שלו להנחות את המשתמש להגדיר את האפליקציה כחייגן ברירת המחדל, מה שמאפשר לו לעקוב ולתפעל את כל השיחות הנכנסות והיוצאות.

גישה זו מאפשרת ל-FakeCall לא רק ליירט שיחות אלא גם לשנות מספרים שחויגו. לדוגמה, ניתן להפנות שיחות המיועדות לבנק למספרים סוררים הנמצאים בשליטת התוקף, ולהונות קורבנות לנקוט בפעולות לא מכוונות.

גרסאות מוקדמות יותר של FakeCall יניעו את המשתמשים להתקשר לבנק שלהם דרך האפליקציה עצמה, לעתים קרובות להתחזות למוסדות פיננסיים שונים ולהציג הצעות הלוואות מזויפות עם שיעורי ריבית אטרקטיביים. כאשר משתמש שנפגע מנסה להתקשר לבנק שלו, התוכנה הזדונית מנתבת מחדש את השיחה למספר הונאה שנשלט על ידי התוקף.

האפליקציה המאיימת מטעה את המשתמשים באמצעות ממשק מזויף משכנע הדומה למסך השיחה של אנדרואיד, המציג את מספר הטלפון של הבנק האמיתי. ממשק חיקוי זה הופך את המשתמש ללא מודע למניפולציה, ומאפשר לתוקפים לאסוף מידע רגיש או לקבל גישה לא מורשית לחשבונות הפיננסיים של הקורבן.

האקרים ממשיכים לחפש דרכים לעקוף תכונות אבטחה

העלייה של טכניקות דיוג (mishing) מתקדמות לנייד מדגישה תגובה לאמצעי אבטחה משופרים ולאימוץ נרחב של אפליקציות לזיהוי מתקשרים, שנועדו לזהות מספרים חשודים ולהתריע בפני משתמשים על ספאם פוטנציאלי.

לאחרונה, גוגל בוחנת יוזמת אבטחה שמונעת באופן אוטומטי טעינת צד של אפליקציות אנדרואיד שעלולות להזיק, כולל כאלו המבקשות שירותי נגישות, במדינות כמו סינגפור, תאילנד, ברזיל והודו.