FakeCall Vishing Malware

Cybersikkerhetsforskere har avdekket en ny variant av den velkjente Android-trusselfamilien, FakeCall, som bruker stemmefisking, eller "vishing", teknikker for å lure brukere til å avsløre personlig informasjon.

Dette avanserte vishing-angrepet er avhengig av skadelig programvare som kan få omfattende kontroll over en infisert mobilenhet, til og med avskjære både innkommende og utgående anrop. Ofre blir ledet til å tro at de deltar i legitime samtaler. I stedet er de koblet til uredelige numre administrert av angriperen, alt mens de opplever et kjent grensesnitt på enheten deres.

Også sporet som FakeCalls og Letscall, har FakeCall blitt studert mye av informasjonssikkerhetsforskere siden det dukket opp i april 2022, med tidligere angrepsbølger hovedsakelig rettet mot mobilbrukere i Sør-Korea.

FakeCall høster informasjon fra ofrenes skjermer

Følgende pakkenavn er assosiert med dropper-applikasjoner som distribuerer skadelig programvare:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistent
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

I likhet med andre Android-banktrusler, misbruker FakeCall tilgjengelighetstjenester APIer for å få enhetskontroll og utføre ondsinnede aktiviteter. Den utnytter disse API-ene til å fange opp informasjon på skjermen og gi seg selv ytterligere tillatelser etter behov.

Skadevarens spionasjefunksjoner er omfattende, slik at den kan samle inn data som SMS-meldinger, kontakter, lokasjoner og installerte applikasjoner. Den kan også ta bilder, ta opp live-strømmer fra både front- og bakkamera, legge til og fjerne kontakter, ta lydbiter, laste opp bilder og simulere en live video-feed av enhetshandlinger ved hjelp av MediaProjection API.

Den utspekulerte nye taktikken som vises av FakeCall Malware

De nylig avdekkede versjonene av skadelig programvare har blitt forbedret for å overvåke både Bluetooth-status og skjermaktivitet på enheten. Det som imidlertid øker trusselen betydelig er taktikken for å be brukeren om å angi applikasjonen som standard oppringer, slik at den kan spore og manipulere alle innkommende og utgående anrop.

Denne tilgangen lar FakeCall ikke bare avlytte anrop, men også endre oppringte numre. For eksempel kan samtaler beregnet på en bank omdirigeres til useriøse numre under angriperens kontroll, og lure ofrene til å utføre utilsiktede handlinger.

Tidligere versjoner av FakeCall ville bedt brukere om å ringe til banken sin gjennom selve applikasjonen, ofte utgi seg som ulike finansinstitusjoner og presentere falske lånetilbud med attraktive renter. Når en kompromittert bruker prøver å ringe banken sin, omdirigerer skadevaren anropet til et falskt nummer kontrollert av angriperen.

Den truende applikasjonen lurer brukere med et overbevisende falskt grensesnitt som ligner Android-anropsskjermen, som viser den ekte bankens telefonnummer. Dette etterligne grensesnittet gjør brukeren uvitende om manipulasjonen, og lar angripere samle inn sensitiv informasjon eller få uautorisert tilgang til offerets økonomiske kontoer.

Hackere fortsetter å lete etter måter å omgå sikkerhetsfunksjoner

Fremveksten av avanserte mobile phishing-teknikker (mishing) understreker en reaksjon på forbedrede sikkerhetstiltak og den utbredte bruken av anropsidentifikasjonsapper, som er utviklet for å identifisere mistenkelige numre og varsle brukere om potensiell spam.

Nylig har Google testet et sikkerhetsinitiativ som automatisk forhindrer sidelasting av potensielt skadelige Android-apper, inkludert de som ber om tilgjengelighetstjenester, i land som Singapore, Thailand, Brasil og India.