Phần mềm độc hại di động 'FakeCalls'
Các nhà nghiên cứu an ninh mạng đang cảnh báo người dùng cũng như các tổ chức kinh doanh về mối đe dọa phần mềm độc hại trên thiết bị di động được theo dõi dưới dạng Trojan Android 'FakeCalls'. Phần mềm độc hại này có khả năng bắt chước hơn 20 ứng dụng tài chính khác nhau nên rất khó bị phát hiện. Ngoài ra, FakeCalls cũng có thể mô phỏng các cuộc trò chuyện qua điện thoại với nhân viên ngân hàng, được gọi là lừa đảo bằng giọng nói hoặc vishing.
Vishing là một loại tấn công kỹ thuật xã hội được thực hiện qua điện thoại. Nó liên quan đến việc sử dụng tâm lý để lôi kéo nạn nhân cung cấp thông tin nhạy cảm hoặc thực hiện các hành động thay mặt cho kẻ tấn công. Thuật ngữ 'vishing' là sự kết hợp của các từ 'giọng nói' và 'lừa đảo'.
FakeCalls được nhắm mục tiêu cụ thể vào thị trường Hàn Quốc và rất linh hoạt. Nó không chỉ hoàn thành chức năng chính mà còn có khả năng trích xuất dữ liệu riêng tư của nạn nhân. Trojan này có thể so sánh với một con dao của Quân đội Thụy Sĩ do chức năng đa mục đích của nó. Chi tiết về mối đe dọa đã được đưa ra trong một báo cáo của các chuyên gia infosec tại Check Point Research.
Vishing là một chiến thuật tội phạm mạng nguy hiểm
Lừa đảo bằng giọng nói, còn được gọi là vishing, là một loại kế hoạch kỹ thuật xã hội nhằm đánh lừa nạn nhân tin rằng họ đang liên lạc với một nhân viên ngân hàng hợp pháp. Điều này đạt được bằng cách tạo ra một ứng dụng ngân hàng trực tuyến hoặc hệ thống thanh toán giả mạo bắt chước một tổ chức tài chính thực sự. Sau đó, những kẻ tấn công cung cấp cho nạn nhân một khoản vay giả với lãi suất thấp hơn, mà nạn nhân có thể bị cám dỗ chấp nhận do tính hợp pháp của ứng dụng.
Những kẻ tấn công sử dụng cơ hội này để chiếm được lòng tin của nạn nhân và lấy thông tin chi tiết về thẻ tín dụng của họ. Họ làm điều này bằng cách thay thế số điện thoại của kẻ điều hành phần mềm độc hại bằng số ngân hàng hợp pháp trong cuộc trò chuyện. Điều này tạo ấn tượng rằng cuộc trò chuyện diễn ra với một ngân hàng thực sự và nhân viên của ngân hàng đó. Sau khi nạn nhân tin tưởng được thiết lập, họ sẽ bị lừa 'xác nhận' chi tiết thẻ tín dụng của mình như một phần của quy trình đủ điều kiện cho khoản vay giả.
Trojan Android FakeCalls có thể giả dạng hơn 20 ứng dụng tài chính khác nhau và mô phỏng các cuộc trò chuyện qua điện thoại với nhân viên ngân hàng. Danh sách các tổ chức bị bắt chước bao gồm ngân hàng, công ty bảo hiểm và dịch vụ mua sắm trực tuyến. Nạn nhân không biết rằng phần mềm độc hại có chứa 'các tính năng' ẩn khi họ cài đặt ứng dụng ngân hàng trực tuyến "đáng tin cậy" từ một tổ chức vững chắc.
Phần mềm độc hại FakeCalls được trang bị các kỹ thuật chống phát hiện độc đáo
Hơn 2500 mẫu phần mềm độc hại FakeCalls đã được Check Point Research phát hiện. Các mẫu này khác nhau về sự kết hợp của các tổ chức tài chính bắt chước và các kỹ thuật trốn tránh được thực hiện. Các nhà phát triển phần mềm độc hại đã thực hiện các biện pháp phòng ngừa bổ sung để bảo vệ tác phẩm của họ bằng cách triển khai một số kỹ thuật trốn tránh độc đáo chưa từng thấy trước đây.
Ngoài các khả năng khác, phần mềm độc hại FakeCalls có thể ghi lại các luồng âm thanh và video trực tiếp từ camera của thiết bị bị nhiễm và gửi chúng đến máy chủ Command-and-Control (C&C) với sự trợ giúp của thư viện mã nguồn mở. Phần mềm độc hại cũng có thể nhận lệnh từ máy chủ C&C để chuyển camera trong khi phát trực tiếp.
Để ẩn các máy chủ C&C thực của họ, các nhà phát triển phần mềm độc hại đã triển khai một số phương pháp. Một trong những phương pháp này liên quan đến việc đọc dữ liệu thông qua trình giải quyết lỗi chết trong Google Drive hoặc sử dụng máy chủ web tùy ý. Trình giải quyết lỗi chết là một kỹ thuật trong đó nội dung độc hại được lưu trữ trên các dịch vụ web hợp pháp. Các tên miền và địa chỉ IP độc hại được ẩn để ngụy trang giao tiếp với các máy chủ C&C thực. Hơn 100 địa chỉ IP duy nhất đã được xác định thông qua quá trình xử lý dữ liệu từ các trình giải quyết lỗi chết. Một biến thể khác liên quan đến phần mềm độc hại đã mã hóa cứng một liên kết được mã hóa tới một trình phân giải cụ thể chứa tài liệu có cấu hình máy chủ được mã hóa.
