Phần mềm độc hại FakeCall Vishing

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của nhóm mối đe dọa Android nổi tiếng, FakeCall, sử dụng kỹ thuật lừa đảo bằng giọng nói hoặc 'vishing' để lừa người dùng tiết lộ thông tin cá nhân của họ.

Cuộc tấn công vishing tiên tiến này dựa vào phần mềm độc hại có thể kiểm soát toàn diện thiết bị di động bị nhiễm, thậm chí chặn cả cuộc gọi đến và đi. Nạn nhân bị dẫn dụ tin rằng họ đang tham gia vào các cuộc gọi hợp pháp. Thay vào đó, họ được kết nối với các số điện thoại gian lận do kẻ tấn công quản lý, trong khi vẫn trải nghiệm giao diện quen thuộc trên thiết bị của họ.

Cũng được theo dõi dưới tên FakeCalls và Letscall, FakeCall đã được các nhà nghiên cứu bảo mật thông tin nghiên cứu sâu rộng kể từ khi xuất hiện vào tháng 4 năm 2022, với các đợt tấn công trước đó chủ yếu nhắm vào người dùng thiết bị di động ở Hàn Quốc.

FakeCall Thu thập thông tin từ màn hình của nạn nhân

Các tên gói sau đây được liên kết với các ứng dụng dropper phân phối phần mềm độc hại:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Giống như các mối đe dọa ngân hàng Android khác, FakeCall sử dụng sai API dịch vụ trợ năng để giành quyền kiểm soát thiết bị và thực hiện các hoạt động độc hại. Nó khai thác các API này để nắm bắt thông tin trên màn hình và cấp cho chính nó các quyền bổ sung khi cần.

Khả năng do thám của phần mềm độc hại này rất rộng, cho phép nó thu thập dữ liệu như tin nhắn SMS, danh bạ, vị trí và các ứng dụng đã cài đặt. Nó cũng có thể chụp ảnh, ghi lại luồng trực tiếp từ cả camera trước và sau, thêm và xóa danh bạ, ghi lại đoạn âm thanh, tải lên hình ảnh và mô phỏng nguồn cấp dữ liệu video trực tiếp về các hành động của thiết bị bằng API MediaProjection.

Những thủ đoạn gian xảo mới được phần mềm độc hại FakeCall sử dụng

Các phiên bản phần mềm độc hại mới được phát hiện đã được cải tiến để theo dõi cả trạng thái Bluetooth và hoạt động trên màn hình trên thiết bị. Tuy nhiên, điều làm tăng đáng kể mối đe dọa là chiến thuật nhắc nhở người dùng đặt ứng dụng làm trình quay số mặc định, cho phép ứng dụng theo dõi và thao túng tất cả các cuộc gọi đến và đi.

Quyền truy cập này cho phép FakeCall không chỉ chặn cuộc gọi mà còn thay đổi số đã gọi. Ví dụ, các cuộc gọi đến ngân hàng có thể được chuyển hướng đến các số điện thoại giả mạo do kẻ tấn công kiểm soát, lừa nạn nhân thực hiện các hành động không mong muốn.

Các phiên bản trước của FakeCall sẽ nhắc nhở người dùng gọi điện đến ngân hàng của họ thông qua chính ứng dụng, thường đóng giả là nhiều tổ chức tài chính khác nhau và đưa ra các ưu đãi cho vay giả với lãi suất hấp dẫn. Khi người dùng bị xâm nhập cố gắng gọi đến ngân hàng của họ, phần mềm độc hại sẽ chuyển hướng cuộc gọi đến một số gian lận do kẻ tấn công kiểm soát.

Ứng dụng đe dọa này lừa người dùng bằng giao diện giả mạo giống màn hình cuộc gọi Android, hiển thị số điện thoại thực của ngân hàng. Giao diện giả mạo này khiến người dùng không biết về sự thao túng, cho phép kẻ tấn công thu thập thông tin nhạy cảm hoặc truy cập trái phép vào tài khoản tài chính của nạn nhân.

Tin tặc tiếp tục tìm cách vượt qua các tính năng bảo mật

Sự gia tăng của các kỹ thuật lừa đảo qua điện thoại di động (mishing) tiên tiến nhấn mạnh phản ứng trước các biện pháp bảo mật nâng cao và việc áp dụng rộng rãi các ứng dụng nhận dạng người gọi, được thiết kế để xác định các số điện thoại đáng ngờ và cảnh báo người dùng về thư rác tiềm ẩn.

Gần đây, Google đã thử nghiệm một sáng kiến bảo mật có khả năng tự động ngăn chặn việc tải phụ các ứng dụng Android có khả năng gây hại, bao gồm cả những ứng dụng yêu cầu dịch vụ trợ năng, tại các quốc gia như Singapore, Thái Lan, Brazil và Ấn Độ.