Threat Database Mobile Malware Мобильное вредоносное ПО FakeCalls

Мобильное вредоносное ПО FakeCalls

Исследователи кибербезопасности предупреждают пользователей и бизнес-организации об угрозе мобильного вредоносного ПО, отслеживаемой как Android-троян FakeCalls. Это вредоносное ПО способно имитировать более 20 различных финансовых приложений, что затрудняет его обнаружение. Кроме того, FakeCalls также может имитировать телефонные разговоры с сотрудниками банка, что известно как голосовой фишинг или вишинг.

Вишинг — это тип атаки социальной инженерии, которая проводится по телефону. Он включает в себя использование психологии для манипулирования жертвами с целью предоставления конфиденциальной информации или выполнения действий от имени злоумышленника. Термин «вишинг» представляет собой сочетание слов «голос» и «фишинг».

FakeCalls специально ориентирован на южнокорейский рынок и очень универсален. Он не только выполняет свою основную функцию, но и имеет возможность извлекать личные данные жертв. Этот троянец по своей универсальности сравним со швейцарским армейским ножом. Подробности об угрозе были опубликованы в отчете экспертов по информационной безопасности Check Point Research.

Вишинг — опасная киберпреступная тактика

Голосовой фишинг, также известный как вишинг, представляет собой тип схемы социальной инженерии, целью которой является заставить жертв поверить в то, что они общаются с законным сотрудником банка. Это достигается путем создания поддельного приложения интернет-банкинга или платежной системы, имитирующего реальное финансовое учреждение. Затем злоумышленники предлагают жертве поддельный кредит с более низкой процентной ставкой, который у жертвы может возникнуть соблазн принять из-за предполагаемой легитимности заявки.

Злоумышленники используют эту возможность, чтобы завоевать доверие жертвы и получить данные ее кредитной карты. Они делают это, заменяя номер телефона, принадлежащий операторам вредоносных программ, на легитимный номер банка во время разговора. Создается впечатление, что разговор ведется с настоящим банком и его сотрудником. Как только доверие жертвы установлено, ее обманом заставляют «подтвердить» данные своей кредитной карты в рамках процесса получения права на поддельный кредит.

Android-троянец FakeCalls может маскироваться под более 20 различных финансовых приложений и имитировать телефонные разговоры с сотрудниками банка. В список поддельных организаций входят банки, страховые компании и службы онлайн-покупок. Жертвы не подозревают, что вредоносное ПО содержит скрытые «функции», когда они устанавливают «надежное» приложение для интернет-банкинга из солидной организации.

Вредоносное ПО FakeCalls оснащено уникальными методами защиты от обнаружения

Check Point Research обнаружила более 2500 образцов вредоносного ПО FakeCalls. Эти образцы различаются комбинацией имитированных финансовых организаций и реализованных методов уклонения. Разработчики вредоносного ПО предприняли дополнительные меры предосторожности, чтобы защитить свое творение, применив несколько уникальных методов уклонения, невиданных ранее.

В дополнение к другим своим возможностям вредоносное ПО FakeCalls может захватывать живые аудио- и видеопотоки с камеры зараженного устройства и отправлять их на серверы управления и контроля (C&C) с помощью библиотеки с открытым исходным кодом. Вредоносная программа также может получать от командного сервера команду на переключение камеры во время прямой трансляции.

Чтобы скрыть свои настоящие C&C-серверы, разработчики вредоносного ПО применили несколько методов. Один из этих методов включает в себя чтение данных через распознаватель тайников на Google Диске или использование произвольного веб-сервера. Распознаватель тайников — это метод, при котором вредоносный контент хранится в законных веб-сервисах. Вредоносные домены и IP-адреса скрыты, чтобы замаскировать связь с реальными C&C-серверами. Более 100 уникальных IP-адресов были идентифицированы в результате обработки данных от распознавателей тайников. Другой вариант заключается в том, что вредоносная программа имеет жестко закодированную зашифрованную ссылку на конкретный преобразователь, который содержит документ с зашифрованной конфигурацией сервера.

В тренде

Наиболее просматриваемые

Загрузка...