FakeCall Vishing 맬웨어

사이버보안 연구원들은 잘 알려진 안드로이드 위협 계열인 FakeCall의 새로운 변종을 발견했습니다. 이는 음성 피싱 또는 '비싱' 기술을 사용하여 사용자를 속여 개인 정보를 공개하게 합니다.

이 고급 비싱 공격은 감염된 모바일 기기를 광범위하게 제어할 수 있는 맬웨어에 의존하며, 심지어 수신 및 발신 통화를 모두 가로채기도 합니다. 피해자는 합법적인 통화를 하고 있다고 믿게 됩니다. 대신, 공격자가 관리하는 사기성 번호에 연결되고, 기기에서 익숙한 인터페이스를 경험하게 됩니다.

FakeCalls 및 Letscall로도 추적되는 FakeCall은 2022년 4월 처음 등장한 이래 정보 보안 연구자들에 의해 광범위하게 연구되어 왔으며, 초기 공격은 주로 한국의 모바일 사용자를 타깃으로 했습니다.

FakeCall은 피해자의 화면에서 정보를 수집합니다.

다음 패키지 이름은 맬웨어를 배포하는 드로퍼 애플리케이션과 연결되어 있습니다.

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.에로레qxo
• gqcvctl.msthh.swxgkyv
• 우유즈.wqrecg.blxal
• plnfexcq.펠루그m.kyxvb
• Xkeqoi.iochvm.vmyab

다른 안드로이드 뱅킹 위협과 마찬가지로 FakeCall은 접근성 서비스 API를 오용하여 기기를 제어하고 악의적인 활동을 수행합니다. FakeCall은 이러한 API를 악용하여 화면 정보를 캡처하고 필요에 따라 추가 권한을 부여합니다.

이 맬웨어의 스파이 기능은 광범위하여 SMS 메시지, 연락처, 위치 및 설치된 애플리케이션과 같은 데이터를 수집할 수 있습니다. 또한 사진을 찍고, 전면 및 후면 카메라에서 라이브 스트림을 녹화하고, 연락처를 추가 및 제거하고, 오디오 스니펫을 캡처하고, 이미지를 업로드하고, MediaProjection API를 사용하여 장치 동작의 라이브 비디오 피드를 시뮬레이션할 수도 있습니다.

FakeCall 맬웨어가 보여주는 교활한 새로운 전술

새롭게 발견된 맬웨어 버전은 Bluetooth 상태와 기기의 화면 활동을 모두 모니터링하도록 강화되었습니다. 그러나 위협을 상당히 높이는 것은 사용자에게 해당 애플리케이션을 기본 다이얼러로 설정하도록 요청하여 모든 수신 및 발신 통화를 추적하고 조작할 수 있도록 하는 전술입니다.

이 접근을 통해 FakeCall은 전화를 가로채는 것뿐만 아니라 다이얼한 번호를 변경할 수도 있습니다. 예를 들어, 은행으로 향하는 전화는 공격자의 통제 하에 있는 사기 번호로 리디렉션되어 피해자가 의도치 않은 행동을 하도록 속일 수 있습니다.

FakeCall의 이전 버전은 사용자에게 애플리케이션 자체를 통해 은행에 전화를 걸도록 유도했는데, 종종 다양한 금융 기관을 가장하고 매력적인 이자율로 가짜 대출 제안을 제시했습니다. 침해된 사용자가 은행에 전화를 걸려고 하면 맬웨어는 전화를 공격자가 제어하는 사기성 번호로 리디렉션합니다.

위협적인 애플리케이션은 안드로이드 통화 화면과 유사한 설득력 있는 가짜 인터페이스로 사용자를 속여 실제 은행의 전화번호를 표시합니다. 이 모방된 인터페이스는 사용자가 조작 사실을 알지 못하게 하여 공격자가 민감한 정보를 수집하거나 피해자의 금융 계좌에 무단으로 액세스할 수 있도록 합니다.

해커, 보안 기능을 우회하는 방법을 계속 찾고 있습니다

고급 모바일 피싱(미싱) 기술의 증가는 강화된 보안 조치와 의심스러운 번호를 식별하고 잠재적인 스팸에 대해 사용자에게 경고하도록 설계된 발신자 식별 앱의 광범위한 도입에 대한 반응을 보여줍니다.

최근 구글은 싱가포르, 태국, 브라질, 인도 등의 국가에서 접근성 서비스를 요청하는 앱을 포함하여 잠재적으로 유해한 Android 앱의 사이드로딩을 자동으로 방지하는 보안 이니셔티브를 테스트해 왔습니다.