FakeCall Vishing ļaunprātīga programmatūra

Kiberdrošības pētnieki ir atklājuši jaunu labi zināmās Android draudu grupas FakeCall variantu, kas izmanto balss pikšķerēšanas jeb "vishing" paņēmienus, lai maldinātu lietotājus, lai tie atklātu savu personisko informāciju.

Šis uzlabotais vishing uzbrukums balstās uz ļaunprātīgu programmatūru, kas var iegūt plašu kontroli pār inficētu mobilo ierīci, pat pārtverot gan ienākošos, gan izejošos zvanus. Upuri tiek likti domāt, ka viņi iesaistās likumīgos zvanos. Tā vietā tie ir savienoti ar krāpnieciskiem numuriem, kurus pārvalda uzbrucējs, vienlaikus saskaroties ar pazīstamu saskarni savā ierīcē.

FakeCall, kas tiek izsekots arī kā FakeCalls un Letscall, informācijas drošības pētnieki ir plaši pētījuši kopš tā parādīšanās 2022. gada aprīlī, un agrākie uzbrukuma viļņi galvenokārt bija vērsti uz mobilo sakaru lietotājiem Dienvidkorejā.

FakeCall ievāc informāciju no upuru ekrāniem

Tālāk norādītie pakotņu nosaukumi ir saistīti ar pilinātāju lietojumprogrammām, kas izplata ļaunprātīgu programmatūru:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Tāpat kā citi Android banku draudi, FakeCall ļaunprātīgi izmanto pieejamības pakalpojumu API, lai iegūtu ierīces vadību un veiktu ļaunprātīgas darbības. Tas izmanto šīs API, lai tvertu ekrānā redzamo informāciju un pēc vajadzības piešķirtu sev papildu atļaujas.

Ļaunprātīgas programmatūras spiegošanas iespējas ir plašas, ļaujot tai apkopot tādus datus kā SMS ziņas, kontaktpersonas, atrašanās vietas un instalētās lietojumprogrammas. Tas var arī uzņemt attēlus, ierakstīt tiešraides straumes gan no priekšējās, gan aizmugurējās kameras, pievienot un noņemt kontaktpersonas, uzņemt audio fragmentus, augšupielādēt attēlus un simulēt ierīces darbību tiešraides video plūsmu, izmantojot MediaProjection API.

Jaunā viltīgā taktika, ko parāda ļaunprātīgā programmatūra FakeCall

Jaunās ļaunprogrammatūras versijas ir uzlabotas, lai pārraudzītu gan Bluetooth statusu, gan ierīces ekrāna darbību. Tomēr tas, kas ievērojami palielina draudus, ir tā taktika, kas liek lietotājam iestatīt lietojumprogrammu kā noklusējuma numura sastādītāju, ļaujot tai izsekot un manipulēt ar visiem ienākošajiem un izejošajiem zvaniem.

Šī piekļuve ļauj FakeCall ne tikai pārtvert zvanus, bet arī mainīt izsauktos numurus. Piemēram, zvani, kas paredzēti bankai, var tikt novirzīti uz negodīgiem numuriem, kas atrodas uzbrucēja kontrolē, maldinot upurus veikt neparedzētas darbības.

Agrākās FakeCall versijas mudināja lietotājus veikt zvanus savai bankai, izmantojot pašu lietojumprogrammu, bieži uzdodoties par dažādām finanšu iestādēm un piedāvājot viltus aizdevumu piedāvājumus ar pievilcīgām procentu likmēm. Kad apdraudēts lietotājs mēģina piezvanīt savai bankai, ļaunprogrammatūra novirza zvanu uz krāpniecisku numuru, kuru kontrolē uzbrucējs.

Draudošā aplikācija lietotājus maldina ar pārliecinošu viltus interfeisu, kas atgādina Android zvanu ekrānu, rādot īsto bankas tālruņa numuru. Šī atdarinātā saskarne liek lietotājam nezināt par manipulācijām, ļaujot uzbrucējiem apkopot sensitīvu informāciju vai iegūt nesankcionētu piekļuvi upura finanšu kontiem.

Hakeri turpina meklēt veidus, kā apiet drošības funkcijas

Uzlaboto mobilo pikšķerēšanas (mishing) paņēmienu pieaugums uzsver reakciju uz uzlabotiem drošības pasākumiem un zvanītāja identifikācijas lietotņu plašo ieviešanu, kas paredzētas, lai identificētu aizdomīgus numurus un brīdinātu lietotājus par iespējamu surogātpastu.

Nesen Google ir testējis drošības iniciatīvu, kas automātiski novērš potenciāli kaitīgu Android lietotņu sānu ielādi, tostarp to, kas pieprasa pieejamības pakalpojumus, tādās valstīs kā Singapūra, Taizeme, Brazīlija un Indija.