มัลแวร์มือถือ 'FakeCalls'

นักวิจัยด้านความปลอดภัยทางไซเบอร์เตือนผู้ใช้และองค์กรธุรกิจเกี่ยวกับภัยคุกคามมัลแวร์มือถือที่ถูกติดตามเป็นโทรจัน Android 'FakeCalls' ซอฟต์แวร์ที่เป็นอันตรายนี้มีความสามารถในการเลียนแบบแอปพลิเคชันทางการเงินที่แตกต่างกันกว่า 20 รายการ ทำให้ตรวจจับได้ยาก นอกจากนี้ FakeCall ยังสามารถจำลองการสนทนาทางโทรศัพท์กับพนักงานธนาคาร ซึ่งเรียกว่าฟิชชิงด้วยเสียงหรือวิชชิ่ง

วิชชิ่งคือการโจมตีทางวิศวกรรมสังคมประเภทหนึ่งซึ่งดำเนินการทางโทรศัพท์ มันเกี่ยวข้องกับการใช้จิตวิทยาเพื่อชักใยเหยื่อในการให้ข้อมูลที่ละเอียดอ่อนหรือดำเนินการในนามของผู้โจมตี คำว่า 'วิชชิ่ง' เป็นคำผสมระหว่างคำว่า 'เสียง' และ 'ฟิชชิง'

FakeCalls มีเป้าหมายเจาะจงไปยังตลาดเกาหลีใต้และมีความหลากหลายสูง ไม่เพียงแต่ทำหน้าที่หลักเท่านั้น แต่ยังมีความสามารถในการดึงข้อมูลส่วนตัวจากผู้ที่ตกเป็นเหยื่อ โทรจันนี้เปรียบได้กับมีดของกองทัพสวิสเนื่องจากฟังก์ชันการทำงานอเนกประสงค์ รายละเอียดเกี่ยวกับภัยคุกคามได้รับการเปิดเผยในรายงานโดยผู้เชี่ยวชาญของอินโฟเซกที่ Check Point Research

การวิชชิ่งเป็นกลวิธีของอาชญากรไซเบอร์ที่อันตราย

ฟิชชิงด้วยเสียงหรือที่เรียกว่าวิชชิ่งเป็นรูปแบบวิศวกรรมสังคมประเภทหนึ่งที่มีจุดมุ่งหมายเพื่อหลอกลวงเหยื่อให้เชื่อว่าพวกเขากำลังสื่อสารกับพนักงานธนาคารที่ถูกต้องตามกฎหมาย สิ่งนี้ทำได้โดยการสร้างธนาคารทางอินเทอร์เน็ตปลอมหรือแอปพลิเคชันระบบการชำระเงินที่เลียนแบบสถาบันการเงินจริง จากนั้นผู้โจมตีจะเสนอเงินกู้ปลอมให้เหยื่อด้วยอัตราดอกเบี้ยที่ต่ำกว่า ซึ่งเหยื่ออาจถูกล่อลวงให้ยอมรับเนื่องจากเห็นว่าใบสมัครนั้นถูกต้องตามกฎหมาย

ผู้โจมตีใช้โอกาสนี้เพื่อให้เหยื่อได้รับความไว้วางใจและขอรายละเอียดบัตรเครดิต พวกเขาทำเช่นนี้โดยแทนที่หมายเลขโทรศัพท์ของผู้ดำเนินการมัลแวร์ด้วยหมายเลขธนาคารที่ถูกต้องในระหว่างการสนทนา สิ่งนี้ทำให้เกิดความรู้สึกว่าเป็นการสนทนากับธนาคารจริงและพนักงาน เมื่อสร้างความไว้วางใจของเหยื่อได้แล้ว พวกเขาจะถูกหลอกให้ 'ยืนยัน' รายละเอียดบัตรเครดิตของตน ซึ่งเป็นส่วนหนึ่งของกระบวนการเพื่อให้มีคุณสมบัติเหมาะสมสำหรับเงินกู้ปลอม

โทรจัน Android FakeCalls สามารถปลอมแปลงเป็นแอปพลิเคชันทางการเงินที่แตกต่างกันกว่า 20 รายการ และจำลองการสนทนาทางโทรศัพท์กับพนักงานธนาคาร รายชื่อองค์กรที่ถูกเลียนแบบมีทั้งธนาคาร บริษัทประกัน และบริการซื้อของออนไลน์ เหยื่อไม่ทราบว่ามัลแวร์มี 'คุณสมบัติ' ที่ซ่อนอยู่ เมื่อพวกเขาติดตั้งแอปพลิเคชันธนาคารทางอินเทอร์เน็ตที่ "น่าเชื่อถือ" จากองค์กรที่มั่นคง

มัลแวร์ FakeCalls มาพร้อมกับเทคนิคการต่อต้านการตรวจจับที่ไม่เหมือนใคร

มากกว่า 2,500 ตัวอย่างของมัลแวร์ FakeCalls ถูกค้นพบโดย Check Point Research ตัวอย่างเหล่านี้แตกต่างกันไปในการรวมกันขององค์กรทางการเงินที่เลียนแบบและใช้เทคนิคการหลีกเลี่ยง นักพัฒนามัลแวร์ได้ใช้ความระมัดระวังเป็นพิเศษเพื่อปกป้องผลงานของพวกเขาด้วยการใช้เทคนิคการหลบหลีกที่ไม่เหมือนใครซึ่งไม่เคยมีมาก่อน

นอกจากความสามารถอื่นๆ แล้ว มัลแวร์ FakeCalls ยังสามารถจับภาพสตรีมเสียงและวิดีโอสดจากกล้องของอุปกรณ์ที่ติดไวรัสและส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C&C) ด้วยความช่วยเหลือของไลบรารีโอเพ่นซอร์ส มัลแวร์ยังสามารถรับคำสั่งจากเซิร์ฟเวอร์ C&C เพื่อสลับกล้องระหว่างการสตรีมสด

เพื่อซ่อนเซิร์ฟเวอร์ C&C ที่แท้จริง นักพัฒนามัลแวร์ได้ใช้วิธีต่างๆ มากมาย หนึ่งในวิธีการเหล่านี้เกี่ยวข้องกับการอ่านข้อมูลผ่านตัวแก้ไขเดดดรอปใน Google ไดรฟ์ หรือการใช้เว็บเซิร์ฟเวอร์โดยอำเภอใจ โปรแกรมแก้ไข Dead drop เป็นเทคนิคที่จัดเก็บเนื้อหาที่เป็นอันตรายไว้ในบริการบนเว็บที่ถูกต้องตามกฎหมาย โดเมนและที่อยู่ IP ที่เป็นอันตรายถูกซ่อนไว้เพื่อปิดบังการสื่อสารกับเซิร์ฟเวอร์ C&C จริง มีการระบุที่อยู่ IP ที่ไม่ซ้ำกันกว่า 100 รายการผ่านการประมวลผลข้อมูลจากตัวแก้ไขเดดดรอป อีกรูปแบบหนึ่งเกี่ยวข้องกับมัลแวร์ที่มีฮาร์ดโค้ดลิงก์ที่เข้ารหัสไปยังตัวแก้ไขเฉพาะที่มีเอกสารที่มีการกำหนดค่าเซิร์ฟเวอร์ที่เข้ารหัส