'FakeCalls' mobiele malware

Onderzoekers op het gebied van cyberbeveiliging waarschuwen zowel gebruikers als bedrijfsorganisaties voor een mobiele malwaredreiging die wordt gevolgd als 'FakeCalls' Android-trojan. Deze kwaadaardige software kan meer dan 20 verschillende financiële applicaties nabootsen, waardoor het moeilijk te detecteren is. Daarnaast kan FakeCalls ook telefoongesprekken met bankmedewerkers simuleren, wat bekend staat als voice phishing of vishing.

Vishing is een soort social engineering-aanval die via de telefoon wordt uitgevoerd. Het omvat het gebruik van psychologie om slachtoffers te manipuleren om gevoelige informatie te verstrekken of acties uit te voeren namens de aanvaller. De term 'vishing' is een combinatie van de woorden 'voice' en 'phishing'.

FakeCalls is specifiek gericht op de Zuid-Koreaanse markt en is zeer veelzijdig. Het vervult niet alleen zijn primaire functie, maar heeft ook de mogelijkheid om privégegevens van slachtoffers te extraheren. Deze Trojan is vergelijkbaar met een Zwitsers zakmes vanwege zijn multifunctionele functionaliteit. Details over de dreiging werden vrijgegeven in een rapport van de infosec-experts van Check Point Research.

Vishing is een gevaarlijke cybercriminele tactiek

Voice phishing, ook wel vishing genoemd, is een vorm van social engineering die tot doel heeft slachtoffers te misleiden door hen te laten geloven dat ze communiceren met een legitieme bankmedewerker. Dit wordt bereikt door een nep-applicatie voor internetbankieren of een betalingssysteem te maken die een echte financiële instelling nabootst. De aanvallers bieden het slachtoffer vervolgens een neplening aan met een lagere rente, die het slachtoffer in de verleiding kan brengen om te accepteren vanwege de gepercipieerde legitimiteit van de aanvraag.

De aanvallers maken van deze gelegenheid gebruik om het vertrouwen van het slachtoffer te winnen en hun creditcardgegevens te bemachtigen. Ze doen dit door tijdens het gesprek het telefoonnummer van de malware-operators te vervangen door een legitiem banknummer. Dit wekt de indruk dat het gesprek met een echte bank en haar medewerker is. Zodra het vertrouwen van het slachtoffer is gevestigd, worden ze misleid om hun creditcardgegevens te 'bevestigen' als onderdeel van het proces om in aanmerking te komen voor de neplening.

De FakeCalls Android Trojan kan zich voordoen als meer dan 20 verschillende financiële applicaties en telefoongesprekken met bankmedewerkers simuleren. De lijst met organisaties die werden nagebootst, omvat banken, verzekeringsmaatschappijen en online winkeldiensten. Slachtoffers zijn zich er niet van bewust dat de malware verborgen 'features' bevat wanneer ze de 'betrouwbare' internetbankieren-applicatie van een solide organisatie installeren.

FakeCalls-malware is uitgerust met unieke antidetectietechnieken

Check Point Research heeft meer dan 2500 monsters van de FakeCalls-malware ontdekt. Deze steekproeven variëren in de combinatie van nagebootste financiële organisaties en geïmplementeerde ontduikingstechnieken. De malware-ontwikkelaars hebben extra voorzorgsmaatregelen genomen om hun creatie te beschermen door verschillende unieke ontwijkingstechnieken te implementeren die nog niet eerder waren gezien.

Naast zijn andere mogelijkheden kan de FakeCalls-malware live audio- en videostreams van de camera van het geïnfecteerde apparaat vastleggen en deze met behulp van een open-sourcebibliotheek naar de Command-and-Control (C&C)-servers sturen. De malware kan ook een opdracht van de C&C-server ontvangen om tijdens livestreaming van camera te wisselen.

Om hun echte C&C-servers verborgen te houden, hebben de malware-ontwikkelaars verschillende methoden geïmplementeerd. Een van deze methoden is het lezen van gegevens via dead-drop-resolvers in Google Drive of het gebruik van een willekeurige webserver. Dead drop resolver is een techniek waarbij schadelijke inhoud wordt opgeslagen op legitieme webservices. De kwaadaardige domeinen en IP-adressen zijn verborgen om de communicatie met echte C&C-servers te verhullen. Meer dan 100 unieke IP-adressen zijn geïdentificeerd door de verwerking van gegevens van dead drop-resolvers. Een andere variant houdt in dat de malware een gecodeerde link hardcodeert naar een specifieke resolver die een document bevat met een gecodeerde serverconfiguratie.