Mobilný malvér „Falošné hovory“.
Výskumníci v oblasti kybernetickej bezpečnosti varujú používateľov a obchodné organizácie pred hrozbou mobilného škodlivého softvéru sledovanou ako „FakeCalls“ Android Trojan. Tento škodlivý softvér má schopnosť napodobňovať viac ako 20 rôznych finančných aplikácií, čo sťažuje jeho odhalenie. Okrem toho môžu FakeCalls simulovať aj telefonické rozhovory so zamestnancami banky, čo je známe ako hlasové phishing alebo vishing.
Vishing je typ útoku sociálneho inžinierstva, ktorý sa uskutočňuje cez telefón. Zahŕňa použitie psychológie na manipuláciu obetí, aby poskytli citlivé informácie alebo vykonali akcie v mene útočníka. Výraz „vishing“ je kombináciou slov „hlas“ a „phishing“.
FakeCalls je špecificky zameraný na juhokórejský trh a je veľmi všestranný. Plní nielen svoju primárnu funkciu, ale má aj schopnosť extrahovať súkromné údaje od obetí. Tento trójsky kôň je vďaka svojej viacúčelovej funkcii porovnateľný so švajčiarskym nožom. Podrobnosti o hrozbe boli zverejnené v správe expertov infosec z Check Point Research.
Vishing je nebezpečná taktika kyberzločinu
Hlasové phishing, tiež známy ako vishing, je typ schémy sociálneho inžinierstva, ktorej cieľom je oklamať obete, aby uverili, že komunikujú s legitímnym zamestnancom banky. To sa dosiahne vytvorením falošnej aplikácie internetového bankovníctva alebo platobného systému, ktorá napodobňuje skutočnú finančnú inštitúciu. Útočníci potom obeti ponúknu falošnú pôžičku s nižšou úrokovou sadzbou, ktorú môže obeť lákať prijať kvôli vnímanej oprávnenosti žiadosti.
Útočníci využívajú túto príležitosť, aby si získali dôveru obete a získali údaje o jej kreditnej karte. Robia to tak, že počas rozhovoru nahradia telefónne číslo patriace prevádzkovateľom škodlivého softvéru legitímnym bankovým číslom. To vytvára dojem, že rozhovor je so skutočnou bankou a jej zamestnancom. Akonáhle sa vytvorí dôvera obete, obeť je oklamaná, aby „potvrdila“ údaje o svojej kreditnej karte ako súčasť procesu kvalifikácie na falošnú pôžičku.
Trojan FakeCalls Android sa môže maskovať ako viac ako 20 rôznych finančných aplikácií a simulovať telefonické rozhovory so zamestnancami banky. Zoznam organizácií, ktoré boli napodobnené, zahŕňa banky, poisťovne a online nákupné služby. Obete si neuvedomujú, že malvér obsahuje skryté „funkcie“, keď si nainštalujú „dôveryhodnú“ aplikáciu internetového bankovníctva od solídnej organizácie.
Falošný malvér je vybavený jedinečnými antidetekčnými technikami
Check Point Research objavilo viac ako 2500 vzoriek škodlivého softvéru FakeCalls. Tieto vzorky sa líšia kombináciou napodobňovaných finančných organizácií a implementovaných techník vyhýbania sa riziku. Vývojári škodlivého softvéru prijali dodatočné opatrenia na ochranu svojho výtvoru implementáciou niekoľkých jedinečných techník vyhýbania sa, ktoré tu predtým neboli.
Okrem svojich ďalších možností dokáže malvér FakeCalls zachytiť živé audio a video streamy z kamery infikovaného zariadenia a odoslať ich na servery Command-and-Control (C&C) pomocou knižnice s otvoreným zdrojovým kódom. Malvér môže tiež prijať príkaz zo servera C&C na prepnutie kamery počas živého vysielania.
Aby udržali svoje skutočné servery C&C skryté, vývojári malvéru implementovali niekoľko metód. Jedna z týchto metód zahŕňa čítanie údajov prostredníctvom prekladačov mŕtvych kvapiek na Disku Google alebo pomocou ľubovoľného webového servera. Dead drop resolver je technika, pri ktorej je škodlivý obsah uložený v legitímnych webových službách. Škodlivé domény a IP adresy sú skryté, aby zakryli komunikáciu so skutočnými servermi C&C. Viac ako 100 jedinečných IP adries bolo identifikovaných prostredníctvom spracovania údajov z prekladačov mŕtvych kvapiek. Ďalší variant zahŕňa malvér, ktorý napevno zakódoval zašifrovaný odkaz na konkrétny resolver, ktorý obsahuje dokument so zašifrovanou konfiguráciou servera.
