Zlonamerna programska oprema FakeCall Vishing

Raziskovalci kibernetske varnosti so odkrili novo različico dobro znane družine groženj Android, FakeCall, ki uporablja tehnike lažnega predstavljanja ali "vising", da zavede uporabnike, da razkrijejo svoje osebne podatke.

Ta napredni napad vishing se opira na zlonamerno programsko opremo, ki lahko pridobi obsežen nadzor nad okuženo mobilno napravo in celo prestreže tako dohodne kot odhodne klice. Žrtve so prepričane, da so vključene v legitimne klice. Namesto tega so povezani z goljufivimi številkami, ki jih upravlja napadalec, medtem ko imajo na svoji napravi znani vmesnik.

FakeCall, ki ga spremljajo tudi kot FakeCalls in Letscall, so raziskovalci informacijske varnosti obsežno preučevali od njegovega pojava aprila 2022, prejšnji valovi napadov pa so bili pretežno usmerjeni na mobilne uporabnike v Južni Koreji.

FakeCall zbira informacije z zaslonov žrtev

Naslednja imena paketov so povezana z aplikacijami dropper, ki distribuirajo zlonamerno programsko opremo:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Tako kot druge bančne grožnje Android tudi FakeCall zlorablja API-je storitev dostopnosti za pridobitev nadzora nad napravo in izvajanje zlonamernih dejavnosti. Te API-je izkorišča za zajemanje informacij na zaslonu in si po potrebi dodeli dodatna dovoljenja.

Vohunske zmogljivosti zlonamerne programske opreme so obsežne in ji omogočajo zbiranje podatkov, kot so sporočila SMS, stiki, lokacije in nameščene aplikacije. Prav tako lahko fotografira, snema tokove v živo s sprednje in zadnje kamere, dodaja in odstranjuje stike, zajema zvočne izrezke, nalaga slike in simulira video v živo dejanj naprave z uporabo API-ja MediaProjection.

Nova zvijačna taktika, ki jo prikazuje zlonamerna programska oprema FakeCall

Na novo odkrite različice zlonamerne programske opreme so bile izboljšane za spremljanje statusa Bluetooth in dejavnosti zaslona v napravi. Vendar pa je tisto, kar bistveno poveča grožnjo, njegova taktika pozivanja uporabnika, da nastavi aplikacijo kot privzeti klicalnik, kar mu omogoča sledenje in upravljanje vseh dohodnih in odhodnih klicev.

Ta dostop omogoča FakeCall ne le prestrezanje klicev, temveč tudi spreminjanje klicanih številk. Na primer, klici, namenjeni banki, se lahko preusmerijo na lažne številke pod nadzorom napadalca, kar žrtve zavede v nenamerna dejanja.

Prejšnje različice FakeCall so uporabnike pozvale k klicem v svojo banko prek same aplikacije, pri čemer so se pogosto predstavljali kot različne finančne institucije in predstavljali lažne ponudbe posojil s privlačnimi obrestnimi merami. Ko ogroženi uporabnik poskuša poklicati njihovo banko, zlonamerna programska oprema preusmeri klic na goljufivo številko, ki jo nadzoruje napadalec.

Nevarna aplikacija uporabnike zavaja s prepričljivim lažnim vmesnikom, ki spominja na klicni zaslon Androida in prikazuje telefonsko številko prave banke. Zaradi tega oponašanega vmesnika se uporabnik ne zaveda manipulacije, napadalcem pa omogoča zbiranje občutljivih informacij ali pridobitev nepooblaščenega dostopa do finančnih računov žrtve.

Hekerji še naprej iščejo načine, kako zaobiti varnostne funkcije

Porast naprednih tehnik mobilnega lažnega predstavljanja (mishinga) poudarja odziv na okrepljene varnostne ukrepe in široko uporabo aplikacij za identifikacijo klicatelja, ki so zasnovane za prepoznavanje sumljivih številk in opozarjanje uporabnikov na morebitno neželeno pošto.

Nedavno je Google preizkušal varnostno pobudo, ki samodejno preprečuje stransko nalaganje potencialno škodljivih aplikacij za Android, vključno s tistimi, ki zahtevajo storitve dostopnosti, v državah, kot so Singapur, Tajska, Brazilija in Indija.