'FakeCalls' Mobile Malware
Ang mga mananaliksik sa cybersecurity ay nagbabala sa mga user at mga organisasyon ng negosyo tungkol sa isang banta sa mobile malware na sinusubaybayan bilang 'FakeCalls' Android Trojan. Ang nakakahamak na software na ito ay may kakayahang gayahin ang higit sa 20 iba't ibang mga pinansiyal na aplikasyon, na nagpapahirap sa pagtukoy. Bukod pa rito, maaari ding gayahin ng FakeCalls ang mga pag-uusap sa telepono sa mga empleyado ng bangko, na kilala bilang voice phishing o vishing.
Ang Vishing ay isang uri ng pag-atake sa social engineering na isinasagawa sa pamamagitan ng telepono. Kabilang dito ang paggamit ng sikolohiya upang manipulahin ang mga biktima sa pagbibigay ng sensitibong impormasyon o pagsasagawa ng mga aksyon sa ngalan ng umaatake. Ang terminong 'vising' ay kumbinasyon ng mga salitang 'voice' at 'phishing.'
Ang FakeCalls ay partikular na naka-target sa South Korean market at ito ay lubos na maraming nalalaman. Hindi lamang nito tinutupad ang pangunahing pag-andar nito ngunit mayroon ding kakayahang kunin ang pribadong data mula sa mga biktima. Ang Trojan na ito ay maihahambing sa kutsilyo ng Swiss Army dahil sa multi-purpose functionality nito. Ang mga detalye tungkol sa banta ay inilabas sa isang ulat ng mga eksperto sa infosec sa Check Point Research.
Ang Vishing ay Isang Mapanganib na Cybercriminal Tactic
Ang voice phishing, na kilala rin bilang vishing, ay isang uri ng social engineering scheme na naglalayong linlangin ang mga biktima sa paniniwalang nakikipag-ugnayan sila sa isang lehitimong empleyado ng bangko. Ito ay nakakamit sa pamamagitan ng paglikha ng isang pekeng internet banking o application ng sistema ng pagbabayad na ginagaya ang isang tunay na institusyong pinansyal. Pagkatapos ay mag-alok ang mga umaatake sa biktima ng isang pekeng pautang na may mas mababang rate ng interes, na maaaring matuksong tanggapin ng biktima dahil sa inaakalang pagiging lehitimo ng aplikasyon.
Ginagamit ng mga umaatake ang pagkakataong ito para makuha ang tiwala ng biktima at makuha ang mga detalye ng kanilang credit card. Ginagawa nila ito sa pamamagitan ng pagpapalit ng numero ng telepono na pagmamay-ari ng mga operator ng malware ng isang lehitimong numero ng bangko habang nag-uusap. Nagbibigay ito ng impresyon na ang pag-uusap ay sa isang tunay na bangko at sa empleyado nito. Kapag naitatag na ang tiwala ng biktima, nalilinlang sila sa 'pagkumpirma' ng mga detalye ng kanilang credit card bilang bahagi ng proseso para sa pagiging kwalipikado para sa pekeng loan.
Ang FakeCalls Android Trojan ay maaaring magpanggap bilang higit sa 20 iba't ibang mga pinansiyal na aplikasyon at gayahin ang mga pag-uusap sa telepono sa mga empleyado ng bangko. Kasama sa listahan ng mga organisasyong ginaya ang mga bangko, kompanya ng insurance, at mga serbisyo sa online na pamimili. Walang kamalayan ang mga biktima na naglalaman ang malware ng mga nakatagong 'feature' kapag na-install nila ang "mapagkakatiwalaan" na application sa internet-banking mula sa isang matatag na organisasyon.
Ang FakeCalls Malware ay Nilagyan ng Mga Natatanging Anti-Detection Technique
Mahigit sa 2500 sample ng FakeCalls malware ang natuklasan ng Check Point Research. Nag-iiba-iba ang mga sample na ito sa kumbinasyon ng mga ginaya na organisasyong pampinansyal at ipinatupad na mga diskarte sa pag-iwas. Ang mga developer ng malware ay gumawa ng mga karagdagang pag-iingat upang maprotektahan ang kanilang paglikha sa pamamagitan ng pagpapatupad ng ilang natatanging pamamaraan ng pag-iwas na hindi pa nakikita noon.
Bilang karagdagan sa iba pang mga kakayahan nito, ang FakeCalls malware ay maaaring kumuha ng mga live na audio at video stream mula sa camera ng infected na device at ipadala ang mga ito sa mga server ng Command-and-Control (C&C) sa tulong ng isang open-source na library. Ang malware ay maaari ding makatanggap ng utos mula sa C&C server na ilipat ang camera sa panahon ng live streaming.
Upang panatilihing nakatago ang kanilang mga tunay na server ng C&C, nagpatupad ang mga developer ng malware ng ilang pamamaraan. Kabilang sa isa sa mga pamamaraang ito ang pagbabasa ng data sa pamamagitan ng mga dead drop na solver sa Google Drive o paggamit ng arbitrary na web server. Ang dead drop resolver ay isang pamamaraan kung saan iniimbak ang nakakahamak na nilalaman sa mga lehitimong serbisyo sa web. Nakatago ang mga nakakahamak na domain at IP address upang itago ang komunikasyon sa mga totoong C&C server. Mahigit sa 100 natatanging IP address ang natukoy sa pamamagitan ng pagproseso ng data mula sa mga dead drop resolver. Kasama sa isa pang variant ang malware na nag-hardcode ng naka-encrypt na link sa isang partikular na solver na naglalaman ng dokumentong may naka-encrypt na configuration ng server.
