FakeCall Vishing Malware
Badacze zajmujący się cyberbezpieczeństwem odkryli nową odmianę znanej rodziny zagrożeń dla systemu Android, FakeCall, która wykorzystuje techniki phishingu głosowego, zwane także „vishingiem”, aby oszukać użytkowników i nakłonić ich do ujawnienia swoich danych osobowych.
Ten zaawansowany atak vishingowy opiera się na złośliwym oprogramowaniu, które może uzyskać rozległą kontrolę nad zainfekowanym urządzeniem mobilnym, przechwytując nawet połączenia przychodzące i wychodzące. Ofiary są przekonane, że prowadzą legalne rozmowy. Zamiast tego są łączone z fałszywymi numerami zarządzanymi przez atakującego, a jednocześnie mają znajomy interfejs na swoim urządzeniu.
Wirus FakeCall, znany również pod nazwami FakeCall i Letscall, był intensywnie badany przez badaczy ds. bezpieczeństwa informacji od momentu jego pojawienia się w kwietniu 2022 r. Wcześniejsze fale ataków były wymierzone głównie w użytkowników urządzeń mobilnych w Korei Południowej.
Spis treści
FakeCall zbiera informacje z ekranów ofiar
Poniższe nazwy pakietów są powiązane z aplikacjami typu dropper, które rozpowszechniają złośliwe oprogramowanie:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.asystant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- Xkeqoi.iochvm.vmyab
Podobnie jak inne zagrożenia bankowości Androida, FakeCall niewłaściwie wykorzystuje API usług ułatwień dostępu, aby uzyskać kontrolę nad urządzeniem i wykonywać złośliwe działania. Wykorzystuje te API do przechwytywania informacji na ekranie i udzielania sobie dodatkowych uprawnień w razie potrzeby.
Możliwości szpiegowskie złośliwego oprogramowania są rozległe, co pozwala mu zbierać dane, takie jak wiadomości SMS, kontakty, lokalizacje i zainstalowane aplikacje. Może również robić zdjęcia, nagrywać transmisje na żywo z kamer przednich i tylnych, dodawać i usuwać kontakty, przechwytywać fragmenty audio, przesyłać obrazy i symulować transmisję wideo na żywo z działań urządzenia za pomocą interfejsu API MediaProjection.
Podstępne nowe taktyki stosowane przez złośliwe oprogramowanie FakeCall
Nowo odkryte wersje złośliwego oprogramowania zostały ulepszone, aby monitorować zarówno status Bluetooth, jak i aktywność ekranu urządzenia. Jednak tym, co znacznie zwiększa zagrożenie, jest taktyka nakłaniania użytkownika do ustawienia aplikacji jako domyślnego dialera, umożliwiając jej śledzenie i manipulowanie wszystkimi połączeniami przychodzącymi i wychodzącymi.
Ten dostęp pozwala FakeCall nie tylko przechwytywać połączenia, ale także zmieniać wybierane numery. Na przykład połączenia przeznaczone dla banku mogą być przekierowywane na nieuczciwe numery pod kontrolą atakującego, oszukując ofiary i zmuszając je do podejmowania niezamierzonych działań.
Wcześniejsze wersje FakeCall nakłaniały użytkowników do inicjowania połączeń do banku za pośrednictwem samej aplikacji, często podszywając się pod różne instytucje finansowe i przedstawiając fałszywe oferty pożyczek z atrakcyjnymi stopami procentowymi. Gdy zainfekowany użytkownik próbuje zadzwonić do swojego banku, złośliwe oprogramowanie przekierowuje połączenie na oszukańczy numer kontrolowany przez atakującego.
Groźna aplikacja oszukuje użytkowników przekonującym, fałszywym interfejsem, który przypomina ekran połączenia Androida, wyświetlając prawdziwy numer telefonu banku. Ten imitowany interfejs sprawia, że użytkownik nie zdaje sobie sprawy z manipulacji, umożliwiając atakującym zbieranie poufnych informacji lub uzyskiwanie nieautoryzowanego dostępu do kont finansowych ofiary.
Hakerzy nadal szukają sposobów na ominięcie funkcji bezpieczeństwa
Rozwój zaawansowanych technik phishingu mobilnego (mishingu) świadczy o reakcji na zwiększone środki bezpieczeństwa i powszechne stosowanie aplikacji identyfikujących rozmówców, których zadaniem jest identyfikowanie podejrzanych numerów i ostrzeganie użytkowników o potencjalnym spamie.
Niedawno firma Google testowała inicjatywę zabezpieczeń, która automatycznie zapobiega pobieraniu potencjalnie szkodliwych aplikacji na Androida, w tym tych, które żądają usług ułatwień dostępu, w takich krajach jak Singapur, Tajlandia, Brazylia i Indie.
