„FakeCalls” mobil rosszindulatú program
A kiberbiztonsági kutatók figyelmeztetik a felhasználókat és az üzleti szervezeteket a „FakeCalls” Android trójai néven nyomon követett rosszindulatú mobilfenyegetésre. Ez a rosszindulatú szoftver több mint 20 különböző pénzügyi alkalmazást képes utánozni, ami megnehezíti az észlelést. Ezenkívül a FakeCalls a banki alkalmazottakkal folytatott telefonbeszélgetéseket is szimulálhatja, amelyet hangalapú adathalászatnak vagy vishingnek neveznek.
A Vishing egyfajta social engineering támadás, amelyet telefonon hajtanak végre. Ez magában foglalja a pszichológia felhasználását az áldozatok manipulálására, hogy bizalmas információkat adjanak meg, vagy cselekedjenek a támadó nevében. A „vishing” kifejezés a „hang” és az „adathalászat” szavak kombinációja.
A FakeCalls kifejezetten a dél-koreai piacot célozza meg, és rendkívül sokoldalú. Nemcsak az elsődleges funkcióját tölti be, hanem arra is képes, hogy személyes adatokat nyerjen ki az áldozatoktól. Ez a trójai a svájci késhez hasonlítható többcélú funkciója miatt. A fenyegetés részleteit a Check Point Research infosec szakértői közölték.
A Vishing egy veszélyes kiberbűnözői taktika
A hangalapú adathalászat, más néven vishing, egyfajta szociális tervezési séma, amelynek célja, hogy az áldozatokat megtévessze, és elhitesse, hogy jogos banki alkalmazottal kommunikálnak. Ezt egy valódi pénzintézetet utánzó hamis internetes banki vagy fizetési rendszeralkalmazás létrehozásával érik el. A támadók ezután alacsonyabb kamattal hamis kölcsönt ajánlanak fel az áldozatnak, amelyet a kérés vélt legitimitása miatt kísértésbe eshet, hogy elfogadjon.
A támadók ezt a lehetőséget arra használják, hogy elnyerjék az áldozat bizalmát, és megszerezzék hitelkártyaadataikat. Ezt úgy teszik meg, hogy a beszélgetés során lecserélik a rosszindulatú programok üzemeltetőihez tartozó telefonszámot egy legitim bankszámra. Ez azt a benyomást kelti, mintha egy valódi bankkal és annak alkalmazottjával folyik a beszélgetés. Amint az áldozat bizalma kialakult, ráveszik, hogy „megerősítse” hitelkártyaadatait a hamis kölcsönre való jogosultság folyamatának részeként.
A FakeCalls Android trójai több mint 20 különböző pénzügyi alkalmazásnak álcázza magát, és szimulálhatja a banki alkalmazottakkal folytatott telefonbeszélgetéseket. A leutánzott szervezetek listája bankokat, biztosítótársaságokat és online vásárlási szolgáltatásokat tartalmaz. Az áldozatok nem tudnak arról, hogy a rosszindulatú program rejtett „funkciókat” tartalmaz, amikor egy szilárd szervezettől származó „megbízható” internetes banki alkalmazást telepítenek.
A FakeCalls malware egyedi észlelési technikákkal van felszerelve
A Check Point Research több mint 2500 mintát fedezett fel a FakeCalls malware-ből. Ezek a minták az utánzott pénzügyi szervezetek és a végrehajtott kijátszási technikák kombinációjában változnak. A rosszindulatú programok fejlesztői további óvintézkedéseket tettek, hogy megvédjék alkotásukat, és számos egyedi, korábban nem látott kijátszási technikát alkalmaznak.
A FakeCalls kártevő egyéb képességei mellett élő hang- és videofolyamokat is képes rögzíteni a fertőzött eszköz kamerájából, és egy nyílt forráskódú könyvtár segítségével továbbítani a Command-and-Control (C&C) szerverekre. A kártevő parancsot is kaphat a C&C szervertől a kameraváltásra élő közvetítés közben.
Annak érdekében, hogy valódi C&C szervereiket rejtve tartsák, a rosszindulatú programok fejlesztői számos módszert alkalmaztak. Az egyik ilyen módszer magában foglalja az adatok beolvasását a Google Drive-ban található „halott csepp-feloldókkal” vagy egy tetszőleges webszerver használatával. A Dead drop feloldó egy olyan technika, amelyben a rosszindulatú tartalmat legitim webszolgáltatásokon tárolják. A rosszindulatú tartományok és IP-címek el vannak rejtve, hogy álcázzák a valódi C&C szerverekkel való kommunikációt. Több mint 100 egyedi IP-címet azonosítottak a halott csepp-feloldók adatainak feldolgozása révén. Egy másik változat szerint a rosszindulatú program egy titkosított hivatkozást kódolt egy adott feloldóhoz, amely titkosított szerverkonfigurációjú dokumentumot tartalmaz.
