Шкідлива програма FakeCall Vishing
Дослідники з кібербезпеки виявили новий варіант відомого сімейства загроз Android, FakeCall, який використовує голосовий фішинг, або «вішинг», методи обману, щоб змусити користувачів розкрити свою особисту інформацію.
Ця просунута атака вішингу базується на зловмисному програмному забезпеченні, яке може отримати повний контроль над зараженим мобільним пристроєм, навіть перехоплюючи як вхідні, так і вихідні дзвінки. Жертв змушують повірити, що вони беруть участь у законних дзвінках. Натомість вони підключаються до шахрайських номерів, якими керує зловмисник, і все це відбувається через знайомий інтерфейс на їхньому пристрої.
FakeCall також відстежується як FakeCalls і Letscall, інтенсивно вивчався дослідниками інформаційної безпеки з моменту його появи в квітні 2022 року, причому попередні хвилі атак були націлені переважно на мобільних користувачів у Південній Кореї.
Зміст
FakeCall збирає інформацію з екранів жертв
Наступні імена пакетів пов’язані з програмами-дроперами, які розповсюджують зловмисне програмне забезпечення:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- Xkeqoi.iochvm.vmyab
Як і інші банківські загрози Android, FakeCall неправильно використовує API служб доступності, щоб отримати контроль над пристроєм і здійснювати зловмисні дії. Він використовує ці API для захоплення інформації на екрані та надання додаткових дозволів за потреби.
Зловмисне програмне забезпечення має широкі шпигунські можливості, що дозволяє збирати такі дані, як SMS-повідомлення, контакти, місцезнаходження та встановлені програми. Він також може робити фотографії, записувати прямі трансляції з передньої та задньої камер, додавати та видаляти контакти, записувати аудіофрагменти, завантажувати зображення та імітувати пряму відеоподачу дій пристрою за допомогою MediaProjection API.
Нова підступна тактика зловмисного програмного забезпечення FakeCall
Нещодавно виявлені версії зловмисного програмного забезпечення були вдосконалені для моніторингу як статусу Bluetooth, так і активності екрана на пристрої. Однак те, що значно посилює загрозу, так це його тактика спонукати користувача встановити програму як номеронабирач за замовчуванням, дозволяючи їй відстежувати та маніпулювати всіма вхідними та вихідними дзвінками.
Цей доступ дозволяє FakeCall не тільки перехоплювати дзвінки, але й змінювати набрані номери. Наприклад, дзвінки, призначені до банку, можуть бути перенаправлені на підконтрольні зловмиснику номери, які зловживають, змушуючи жертв вжити ненавмисних дій.
Попередні версії FakeCall спонукали користувачів ініціювати дзвінки до свого банку через саму програму, часто видаючи себе за різні фінансові установи та представляючи фальшиві пропозиції кредитів із привабливими процентними ставками. Коли скомпрометований користувач намагається зателефонувати до свого банку, зловмисне програмне забезпечення перенаправляє виклик на шахрайський номер, який контролює зловмисник.
Загрозливий додаток вводить в оману користувачів переконливим підробленим інтерфейсом, який нагадує екран виклику Android, де відображається справжній номер телефону банку. Цей імітований інтерфейс робить користувача не підозрюючим про маніпуляції, дозволяючи зловмисникам збирати конфіденційну інформацію або отримувати несанкціонований доступ до фінансових рахунків жертви.
Хакери продовжують шукати способи обійти функції безпеки
Зростання передових методів мобільного фішингу (мішингу) підкреслює реакцію на посилені заходи безпеки та широке впровадження програм ідентифікації абонентів, які призначені для виявлення підозрілих номерів і сповіщення користувачів про потенційний спам.
Нещодавно Google тестував ініціативу безпеки, яка автоматично запобігає сторонньому завантаженню потенційно шкідливих програм Android, у тому числі тих, які запитують послуги доступності, у таких країнах, як Сінгапур, Таїланд, Бразилія та Індія.
