FakeCall Vishing Malware

Výskumníci v oblasti kybernetickej bezpečnosti odhalili nový variant známej rodiny hrozieb pre Android, FakeCall, ktorá využíva techniky hlasového phishingu alebo „visingu“ na oklamanie používateľov, aby zverejnili svoje osobné informácie.

Tento pokročilý vishingový útok sa spolieha na malvér, ktorý dokáže získať rozsiahlu kontrolu nad infikovaným mobilným zariadením, a to aj zachytávať prichádzajúce aj odchádzajúce hovory. Obete sú vedené k presvedčeniu, že sa zapájajú do legitímnych hovorov. Namiesto toho sú pripojení k podvodným číslam, ktoré spravuje útočník, pričom na svojom zariadení zažívajú známe rozhranie.

FakeCall, ktorý je tiež sledovaný ako FakeCalls a Letscall, bol od svojho objavenia v apríli 2022 rozsiahlo skúmaný výskumníkmi informačnej bezpečnosti, pričom predchádzajúce vlny útokov sa zameriavali predovšetkým na mobilných používateľov v Južnej Kórei.

FakeCall zbiera informácie z obrazoviek obetí

Nasledujúce názvy balíkov sú spojené s aplikáciami typu dropper, ktoré distribuujú malvér:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.asistent
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Rovnako ako iné bankové hrozby pre Android, FakeCall zneužíva API služieb dostupnosti na získanie kontroly nad zariadením a vykonávanie škodlivých aktivít. Využíva tieto rozhrania API na zachytávanie informácií na obrazovke a podľa potreby si udeľuje ďalšie povolenia.

Špionážne schopnosti malvéru sú rozsiahle a umožňujú mu zhromažďovať údaje, ako sú SMS správy, kontakty, miesta a nainštalované aplikácie. Dokáže tiež fotografovať, nahrávať živé prenosy z predných aj zadných kamier, pridávať a odstraňovať kontakty, zachytávať zvukové úryvky, nahrávať obrázky a simulovať živý video prenos akcií zariadenia pomocou rozhrania MediaProjection API.

Nová úskočná taktika, ktorú zobrazuje malvér FakeCall

Novo odhalené verzie malvéru boli vylepšené tak, aby monitorovali stav Bluetooth a aktivitu obrazovky na zariadení. Čo však výrazne zvyšuje hrozbu, je jeho taktika vyzvať používateľa, aby nastavil aplikáciu ako predvolený dialer, čo jej umožňuje sledovať a manipulovať so všetkými prichádzajúcimi a odchádzajúce hovory.

Tento prístup umožňuje FakeCall nielen zachytávať hovory, ale aj meniť volané čísla. Hovory určené pre banku môžu byť napríklad presmerované na podvodné čísla pod kontrolou útočníka, čím sa obete oklamú, aby podnikli neúmyselné akcie.

Skoršie verzie FakeCall vyzývali používateľov, aby iniciovali hovory do svojej banky prostredníctvom samotnej aplikácie, pričom často vystupovali ako rôzne finančné inštitúcie a predstavovali falošné ponuky pôžičiek s atraktívnymi úrokovými sadzbami. Keď sa napadnutý používateľ pokúsi zavolať do svojej banky, malvér presmeruje hovor na podvodné číslo kontrolované útočníkom.

Hrozivá aplikácia klame používateľov presvedčivým falošným rozhraním, ktoré pripomína obrazovku hovoru Androidu a zobrazuje telefónne číslo skutočnej banky. Toto napodobené rozhranie spôsobuje, že si používateľ neuvedomuje manipuláciu, čo umožňuje útočníkom zhromažďovať citlivé informácie alebo získať neoprávnený prístup k finančným účtom obete.

Hackeri naďalej hľadajú spôsoby, ako obísť bezpečnostné funkcie

Vzostup pokročilých techník mobilného phishingu (mishing) podčiarkuje reakciu na vylepšené bezpečnostné opatrenia a rozšírené prijatie aplikácií na identifikáciu volajúcich, ktoré sú navrhnuté tak, aby identifikovali podozrivé čísla a upozornili používateľov na potenciálny spam.

Spoločnosť Google nedávno testovala bezpečnostnú iniciatívu, ktorá automaticky zabraňuje načítaniu potenciálne škodlivých aplikácií pre Android vrátane tých, ktoré vyžadujú služby dostupnosti, v krajinách ako Singapur, Thajsko, Brazília a India.