FakeCall Vishing Malware

Cybersäkerhetsforskare har avslöjat en ny variant av den välkända Android-hotfamiljen, FakeCall, som använder röstnätfiske, eller "vishing", tekniker för att lura användare att avslöja sin personliga information.

Denna avancerade vishing-attack bygger på skadlig programvara som kan få omfattande kontroll över en infekterad mobil enhet, till och med avlyssna både inkommande och utgående samtal. Offren förleds att tro att de deltar i legitima samtal. Istället är de anslutna till bedrägliga nummer som hanteras av angriparen, allt samtidigt som de upplever ett välbekant gränssnitt på sin enhet.

Även spårad som FakeCalls och Letscall, har FakeCall studerats omfattande av informationssäkerhetsforskare sedan dess uppkomst i april 2022, med tidigare attackvågor som främst riktade sig mot mobilanvändare i Sydkorea.

FakeCall skördar information från offrens skärmar

Följande paketnamn är associerade med droppprogram som distribuerar skadlig programvara:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistent
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Liksom andra Android-bankhot, missbrukar FakeCall tillgänglighetstjänsters API:er för att få kontroll över enheten och utföra skadliga aktiviteter. Den utnyttjar dessa API:er för att fånga information på skärmen och ge sig själv ytterligare behörigheter efter behov.

Skadlig programvaras spionagekapacitet är omfattande, vilket gör att den kan samla in data som SMS, kontakter, platser och installerade applikationer. Den kan också ta bilder, spela in liveströmmar från både främre och bakre kameror, lägga till och ta bort kontakter, fånga ljudklipp, ladda upp bilder och simulera ett livevideoflöde av enhetsåtgärder med hjälp av MediaProjection API.

Den falska nya taktiken som visas av FakeCall Malware

De nyligen upptäckta versionerna av skadlig programvara har förbättrats för att övervaka både Bluetooth-status och skärmaktivitet på enheten. Det som dock avsevärt ökar hotet är dess taktik att uppmana användaren att ställa in programmet som standarduppringare, vilket gör det möjligt för den att spåra och manipulera alla inkommande och utgående samtal.

Denna åtkomst tillåter FakeCall att inte bara avlyssna samtal utan också att ändra uppringda nummer. Till exempel kan samtal avsedda för en bank omdirigeras till oseriösa nummer under angriparens kontroll, vilket lura offren att vidta oavsiktliga åtgärder.

Tidigare versioner av FakeCall skulle uppmana användare att ringa till sin bank genom själva applikationen, ofta utger sig för att vara olika finansinstitut och presentera falska låneerbjudanden med attraktiva räntor. När en utsatt användare försöker ringa sin bank omdirigerar skadlig programvara samtalet till ett bedrägligt nummer som kontrolleras av angriparen.

Den hotfulla applikationen lurar användare med ett övertygande falskt gränssnitt som liknar Android-samtalsskärmen och visar den riktiga bankens telefonnummer. Detta efterliknade gränssnitt gör användaren omedveten om manipulationen, vilket gör att angripare kan samla in känslig information eller få obehörig åtkomst till offrets finansiella konton.

Hackare fortsätter att leta efter sätt att kringgå säkerhetsfunktioner

Uppkomsten av avancerad mobil phishing-teknik (mishing) understryker en reaktion på förbättrade säkerhetsåtgärder och det utbredda antagandet av appar för nummerpresentation, som är utformade för att identifiera misstänkta nummer och varna användare om potentiell skräppost.

Nyligen har Google testat ett säkerhetsinitiativ som automatiskt förhindrar sidladdning av potentiellt skadliga Android-appar, inklusive de som begär tillgänglighetstjänster, i länder som Singapore, Thailand, Brasilien och Indien.