FakeCall Vishing Malware

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยภัยคุกคามรูปแบบใหม่ที่รู้จักกันดีในตระกูล Android ที่เรียกว่า FakeCall ซึ่งใช้เทคนิคการฟิชชิ่งด้วยเสียงหรือที่เรียกว่า "วิชชิ่ง" เพื่อหลอกลวงผู้ใช้ให้เปิดเผยข้อมูลส่วนบุคคลของตน

การโจมตีด้วย Vishing ขั้นสูงนี้อาศัยมัลแวร์ที่สามารถควบคุมอุปกรณ์มือถือที่ติดไวรัสได้อย่างกว้างขวาง แม้กระทั่งดักจับทั้งสายเข้าและสายออก เหยื่อถูกหลอกให้เชื่อว่าตนกำลังโทรออกจริง ๆ แต่กลับเชื่อมต่อกับหมายเลขปลอมที่ผู้โจมตีจัดการอยู่ ขณะเดียวกันก็สัมผัสได้ถึงอินเทอร์เฟซที่คุ้นเคยบนอุปกรณ์ของตน

FakeCall ซึ่งติดตามโดย FakeCall ในชื่อ FakeCall และ Letscall ได้รับการศึกษาอย่างกว้างขวางโดยนักวิจัยด้านความปลอดภัยทางข้อมูลนับตั้งแต่เปิดตัวในเดือนเมษายน พ.ศ. 2565 โดยคลื่นโจมตีก่อนหน้านี้ส่วนใหญ่มุ่งเป้าไปที่ผู้ใช้มือถือในเกาหลีใต้

FakeCall รวบรวมข้อมูลจากหน้าจอของเหยื่อ

ชื่อแพ็คเกจต่อไปนี้เชื่อมโยงกับแอปพลิเคชันดรอปเปอร์ที่แจกจ่ายมัลแวร์:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.ผู้ช่วย
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• จีคิวซีวีซีทีแอล.เอ็มเอสทีเอช.เอสดับเบิ้ลยู
• อูยุดซ.วค.เร็กก์.บลซัล
• plnfexcq.fehlwuggm.kyxvb
• เฉกเช่น.iochvm.vmyab

เช่นเดียวกับภัยคุกคามทางการเงินอื่นๆ ในระบบ Android FakeCall ใช้ API ของบริการการเข้าถึงในทางที่ผิดเพื่อควบคุมอุปกรณ์และดำเนินกิจกรรมที่เป็นอันตราย โดยใช้ประโยชน์จาก API เหล่านี้เพื่อรวบรวมข้อมูลบนหน้าจอและให้สิทธิ์เพิ่มเติมแก่ตัวเองตามที่จำเป็น

ความสามารถในการสอดแนมของมัลแวร์นั้นมีมากมาย ทำให้สามารถรวบรวมข้อมูลต่างๆ เช่น ข้อความ SMS รายชื่อผู้ติดต่อ ตำแหน่ง และแอปพลิเคชันที่ติดตั้งได้ นอกจากนี้ยังสามารถถ่ายภาพ บันทึกสตรีมสดจากกล้องหน้าและกล้องหลัง เพิ่มและลบรายชื่อผู้ติดต่อ บันทึกเสียง อัปโหลดรูปภาพ และจำลองฟีดวิดีโอสดของการกระทำของอุปกรณ์โดยใช้ MediaProjection API

กลวิธีใหม่อันคดโกงที่แสดงโดยมัลแวร์ FakeCall

มัลแวร์เวอร์ชันใหม่ที่เพิ่งค้นพบได้รับการปรับปรุงให้สามารถตรวจสอบสถานะบลูทูธและกิจกรรมบนหน้าจอของอุปกรณ์ได้ อย่างไรก็ตาม สิ่งที่ทำให้ภัยคุกคามรุนแรงขึ้นอย่างเห็นได้ชัดคือกลวิธีในการแจ้งให้ผู้ใช้ตั้งค่าแอปพลิเคชันเป็นโปรแกรมโทรออกเริ่มต้น ซึ่งทำให้สามารถติดตามและจัดการสายเรียกเข้าและโทรออกทั้งหมดได้

การเข้าถึงนี้ทำให้ FakeCall ไม่เพียงแต่ดักจับการโทรเท่านั้น แต่ยังเปลี่ยนหมายเลขที่โทรออกได้อีกด้วย ตัวอย่างเช่น การโทรที่ตั้งใจจะโทรไปที่ธนาคารอาจถูกเปลี่ยนเส้นทางไปยังหมายเลขปลอมที่อยู่ภายใต้การควบคุมของผู้โจมตี หลอกลวงให้เหยื่อดำเนินการที่ไม่ได้ตั้งใจ

FakeCall เวอร์ชันก่อนหน้านี้จะแจ้งให้ผู้ใช้โทรไปที่ธนาคารของตนเองผ่านแอปพลิเคชัน โดยมักจะแอบอ้างตัวเป็นสถาบันการเงินต่างๆ และเสนอข้อเสนอสินเชื่อปลอมพร้อมอัตราดอกเบี้ยที่น่าดึงดูด เมื่อผู้ใช้ที่ถูกบุกรุกพยายามโทรไปที่ธนาคาร มัลแวร์จะเปลี่ยนเส้นทางการโทรไปยังหมายเลขปลอมที่ผู้โจมตีควบคุมอยู่

แอปพลิเคชั่นที่คุกคามนี้หลอกลวงผู้ใช้ด้วยอินเทอร์เฟซปลอมที่ดูเหมือนหน้าจอการโทรของ Android โดยแสดงหมายเลขโทรศัพท์ของธนาคารจริง อินเทอร์เฟซที่เลียนแบบนี้ทำให้ผู้ใช้ไม่รู้ตัวว่ามีการหลอกลวง ทำให้ผู้โจมตีสามารถรวบรวมข้อมูลที่ละเอียดอ่อนหรือเข้าถึงบัญชีการเงินของเหยื่อโดยไม่ได้รับอนุญาต

แฮกเกอร์ยังคงมองหาวิธีที่จะข้ามคุณสมบัติความปลอดภัย

การเพิ่มขึ้นของเทคนิคฟิชชิ่งบนมือถือขั้นสูง (mishing) เน้นย้ำถึงการตอบสนองต่อมาตรการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น และการนำแอประบุตัวตนผู้โทรเข้ามาใช้อย่างแพร่หลาย ซึ่งได้รับการออกแบบมาเพื่อระบุหมายเลขที่น่าสงสัยและแจ้งเตือนผู้ใช้เกี่ยวกับสแปมที่อาจเกิดขึ้น

เมื่อไม่นานนี้ Google ได้ทำการทดสอบแผนริเริ่มด้านความปลอดภัยที่ป้องกันการโหลดแอป Android ที่อาจก่อให้เกิดอันตรายโดยอัตโนมัติ รวมถึงแอปที่ร้องขอบริการการเข้าถึงในประเทศต่างๆ เช่น สิงคโปร์ ไทย บราซิล และอินเดีย