Зловмисне програмне забезпечення для мобільних пристроїв «FakeCalls».
Дослідники з кібербезпеки попереджають користувачів і бізнес-організації про загрозу зловмисного програмного забезпечення для мобільних пристроїв, яка відстежується як троян Android FakeCalls. Це шкідливе програмне забезпечення має здатність імітувати понад 20 різних фінансових програм, що ускладнює його виявлення. Крім того, FakeCalls також може імітувати телефонні розмови зі службовцями банку, що відоме як голосовий фішинг або вішинг.
Вішинг — це різновид соціальної інженерної атаки, яка здійснюється по телефону. Це передбачає використання психології для маніпулювання жертвами, щоб вони надали конфіденційну інформацію або вчинили дії від імені зловмисника. Термін «вішинг» є поєднанням слів «голос» і «фішинг».
FakeCalls спеціально націлений на південнокорейський ринок і є дуже універсальним. Він не тільки виконує свою основну функцію, але й має можливість отримувати особисті дані від жертв. Цей троян можна порівняти зі швейцарським армійським ножем завдяки своїй багатофункціональності. Подробиці про загрозу були оприлюднені у звіті експертів із захисту інформації Check Point Research.
Вішинг — це небезпечна тактика кіберзлочинців
Голосовий фішинг, також відомий як вішинг, — це різновид схеми соціальної інженерії, яка має на меті ввести в оману жертв, щоб вони повірили, що вони спілкуються з законним банківським працівником. Це досягається шляхом створення фальшивого додатка інтернет-банкінгу або платіжної системи, який імітує справжню фінансову установу. Потім зловмисники пропонують жертві фальшиву позику з нижчою процентною ставкою, яку жертва може спокуситися прийняти через сприйману законність заявки.
Зловмисники використовують цю можливість, щоб завоювати довіру жертви та отримати дані її кредитної картки. Вони роблять це, замінюючи під час розмови номер телефону, який належить операторам зловмисного ПЗ, на законний номер банку. Так створюється враження, що розмова ведеться зі справжнім банком і його співробітником. Після встановлення довіри жертви обманом змушують її «підтвердити» дані своєї кредитної картки в рамках процесу отримання підробленої позики.
Android-троян FakeCalls може маскуватися під понад 20 різних фінансових програм і імітувати телефонні розмови зі службовцями банку. Список імітованих організацій включає банки, страхові компанії та сервіси онлайн-покупок. Жертви не знають, що зловмисне програмне забезпечення містить приховані «функції», коли вони встановлюють «надійну» програму інтернет-банкінгу від надійної організації.
Зловмисне програмне забезпечення FakeCalls оснащено унікальними методами антивиявлення
Більше 2500 зразків шкідливого програмного забезпечення FakeCalls було виявлено Check Point Research. Ці зразки відрізняються поєднанням імітованих фінансових організацій і реалізованих методів ухилення. Розробники зловмисного програмного забезпечення вжили додаткових запобіжних заходів, щоб захистити своє творіння, застосувавши кілька унікальних методів ухилення, яких раніше не було.
На додаток до інших своїх можливостей, зловмисне програмне забезпечення FakeCalls може захоплювати прямі аудіо- та відеопотоки з камери зараженого пристрою та надсилати їх на сервери командування та керування (C&C) за допомогою бібліотеки з відкритим кодом. Зловмисне програмне забезпечення також може отримати команду від C&C-сервера перемкнути камеру під час прямої трансляції.
Щоб зберегти свої справжні C&C сервери прихованими, розробники зловмисного програмного забезпечення запровадили кілька методів. Один із цих методів передбачає зчитування даних за допомогою розпізнавача мертвих даних на Диску Google або використання довільного веб-сервера. Dead drop resolver — це техніка, за допомогою якої зловмисний вміст зберігається в законних веб-службах. Шкідливі домени та IP-адреси приховані, щоб замаскувати зв’язок із справжніми серверами C&C. Понад 100 унікальних IP-адрес було ідентифіковано завдяки обробці даних із розпізнавачів несправностей. Інший варіант полягає в тому, що зловмисне програмне забезпечення жорстко закодувало зашифроване посилання на певний резолвер, який містить документ із зашифрованою конфігурацією сервера.
