Program malware pentru mobil „FakeCalls”.

Cercetătorii în domeniul securității cibernetice avertizează atât utilizatorii, cât și organizațiile de afaceri despre o amenințare de malware pentru mobil, urmărită ca troian Android „FakeCalls”. Acest software rău intenționat are capacitatea de a imita peste 20 de aplicații financiare diferite, ceea ce îl face dificil de detectat. În plus, FakeCalls poate simula și conversațiile telefonice cu angajații băncii, ceea ce este cunoscut sub numele de phishing vocal sau vishing.

Vishing este un tip de atac de inginerie socială care se efectuează prin telefon. Aceasta implică folosirea psihologiei pentru a manipula victimele pentru a furniza informații sensibile sau pentru a efectua acțiuni în numele atacatorului. Termenul „vishing” este o combinație a cuvintelor „voce” și „phishing”.

FakeCalls este direcționat în mod special către piața sud-coreeană și este extrem de versatil. Nu numai că își îndeplinește funcția principală, dar are și capacitatea de a extrage date private de la victime. Acest troian este comparabil cu un cuțit elvețian datorită funcționalității sale multifuncționale. Detalii despre amenințare au fost publicate într-un raport al experților infosec de la Check Point Research.

Vishing este o tactică cibercriminală periculoasă

Phishingul vocal, cunoscut și sub denumirea de vishing, este un tip de schemă de inginerie socială care urmărește să înșele victimele să creadă că comunică cu un angajat legitim al băncii. Acest lucru se realizează prin crearea unei aplicații false de internet banking sau de sistem de plată care imită o instituție financiară reală. Atacatorii oferă apoi victimei un împrumut fals cu o dobândă mai mică, pe care victima poate fi tentată să o accepte din cauza legitimității percepute a cererii.

Atacatorii folosesc această oportunitate pentru a câștiga încrederea victimei și pentru a obține detaliile cardului de credit. Ei fac acest lucru prin înlocuirea numărului de telefon aparținând operatorilor de malware cu un număr bancar legitim în timpul conversației. Acest lucru dă impresia că conversația este cu o bancă adevărată și angajatul acesteia. Odată stabilită încrederea victimei, aceasta este păcălită să „confirme” detaliile cardului de credit ca parte a procesului de calificare pentru împrumutul fals.

Troianul FakeCalls Android se poate masca în peste 20 de aplicații financiare diferite și poate simula conversațiile telefonice cu angajații băncii. Lista organizațiilor care au fost imitate include bănci, companii de asigurări și servicii de cumpărături online. Victimele nu știu că malware-ul conține „funcții” ascunse atunci când instalează aplicația de internet banking „de încredere” de la o organizație solidă.

Malware FakeCalls este echipat cu tehnici unice de anti-detecție

Peste 2500 de mostre de malware FakeCalls au fost descoperite de Check Point Research. Aceste mostre variază în combinația dintre organizațiile financiare imitate și tehnicile de evaziune implementate. Dezvoltatorii de programe malware au luat măsuri de precauție suplimentare pentru a-și proteja creația prin implementarea mai multor tehnici unice de evaziune care nu au fost văzute înainte.

Pe lângă celelalte capabilități ale sale, malware-ul FakeCalls poate capta fluxuri audio și video live de la camera dispozitivului infectat și le poate trimite către serverele Command-and-Control (C&C) cu ajutorul unei biblioteci open-source. Malware-ul poate primi, de asemenea, o comandă de la serverul C&C pentru a comuta camera în timpul streamingului live.

Pentru a păstra ascunse serverele lor reale C&C, dezvoltatorii de malware au implementat mai multe metode. Una dintre aceste metode implică citirea datelor prin soluții de dead drop din Google Drive sau utilizarea unui server web arbitrar. Dead drop resolver este o tehnică prin care conținutul rău intenționat este stocat pe servicii web legitime. Domeniile și adresele IP rău intenționate sunt ascunse pentru a ascunde comunicarea cu serverele reale C&C. Peste 100 de adrese IP unice au fost identificate prin procesarea datelor de la solutoarele de picături moarte. O altă variantă implică malware-ul care a codificat hard o legătură criptată către un anumit resolver care conține un document cu o configurație de server criptată.