O nouă versiune a malware-ului FakeCall pentru Android preia apelurile efectuate de un utilizator către banca lor, redirecționându-le către numărul de telefon al atacatorului.
Scopul celei mai recente versiuni rămâne acela de a fura informațiile sensibile și banii oamenilor din conturile lor bancare.
FakeCall (sau FakeCalls) este un troian bancar cu accent pe pescuitul vocal, în care victimele sunt înșelate prin apeluri frauduloase care impersonalizează băncile, cerându-le să transmită informații sensibile.
Kaspersky a raportat pentru prima dată troianul în aprilie 2022, prezentând interfețe de apelare realistă pentru a înșela victimele să creadă că sunt la telefon cu banca lor.
Un raport din martie 2023 realizat de CheckPoint a avertizat că FakeCall imită acum peste 20 de organizații financiare, oferind țintelor împrumuturi cu dobânzi mici și prezentând mecanisme noi de evitare pentru a reduce ratele de detectare.
În plus față de pescuitul vocal (voice phishing), FakeCall putea, de asemenea, să captureze fluxuri de audio și video live de pe dispozitivele infectate, permițând atacatorilor să fure date sensibile fără interacțiunea victimei.
În versiunile anterioare, FakeCall îi îndemna pe utilizatori să apeleze banca dintr-o aplicație, impersonalizând institutul financiar. Apoi, o fereastră falsă era suprapusă care afișa numărul real al băncii în timp ce victima era conectată cu escrocii.
În cea mai recentă versiune analizată de Zimperium, aplicația malefică se setează ca manipulator de apeluri implicit, cerând utilizatorului să aprobe această acțiune la instalarea aplicației prin intermediul unui APK Android.
Manipulatorul de apeluri în Android gestionează apelurile de intrare și de ieșire, servind practic ca interfață principală care procesează formarea, conectarea și încheierea apelurilor.
Când malware-ul îi solicită utilizatorului să-l seteze ca manipulator de apeluri implicit, acesta obține permisiunea de a intercepta și manipula atât apelurile de ieșire, cât și cele de intrare.
O interfață de apel falsă imită dialerul Android real, afișând informații și nume de contact de încredere, ridicând nivelul de înșelăciune la un punct greu de realizat pentru victime.
Ceea ce face acest malware atât de periculos este că atunci când un utilizator încearcă să apeleze instituția lor financiară, malware-ul redirecționează în secret apelul și îl redirecționează către numărul de telefon al unui atacator în schimb.
„Când individul compromis încearcă să contacteze instituția lor financiară, malware-ul redirecționează apelul către un număr fraudulos controlat de atacator,” explică noul raport Zimperium.
„Aplicația malefică îi va înșela pe utilizatori, afișând o interfață falsă convingătoare care pare a fi interfața de apel Android legitim, afișând numărul real al băncii.”
„Victima nu va fi conștientă de manipulare, deoarece interfața falsă a malware-ului va imita experiența bancară reală, permițând atacatorului să extragă informații sensibile sau să obțină acces neautorizat la conturile financiare ale victimei.
În ciuda unei codificări mai puternice a codului, Zimperium a descoperit, de asemenea, că ultimele versiuni FakeCall adaugă mai multe îmbunătățiri și mecanisme de atac, deși unele sunt încă în curs de dezvoltare.
În primul rând, FakeCall a adăugat un ascultător Bluetooth și un monitor de stare a ecranului, ambele fără funcționalitate malefică încă.
Malware-ul folosește acum Serviciul de Accesibilitate al Android pentru a obține un control extins asupra interfeței utilizatorului, permițându-i să monitorizeze activitatea dialerului, să-și acorde automat permisiunile, și să simuleze acțiuni ale utilizatorului precum clicuri și gesturi.
Un nou serviciu de ascultare a telefonului stabilește un canal de comunicare cu serverul de comandă și control (C2) al atacatorului, permițându-le să emită comenzi pentru a efectua diverse acțiuni, cum ar fi obținerea locației dispozitivului, ștergerea aplicațiilor, înregistrarea audio sau video și editarea contactelor.
Noile comenzi adăugate în cea mai recentă variantă includ:
Aceste adăugiri arată că FakeCall este în curs de dezvoltare activ și operatorii săi lucrează pentru a-l face un troian bancar mai evaziv și mai formidabil.
Zimperium a publicat o listă de indicatori de compromis (IoC), inclusiv nume de pachete de aplicații și sume de control ale APK-urilor, astfel încât utilizatorii să poată evita aplicațiile malefice care conțin malware-ul. Cu toate acestea, acestea sunt schimbate frecvent de către actorii amenințării.
Ca întotdeauna, se sugerează ca utilizatorii să evite instalarea manuală a aplicațiilor Android prin APK-uri și să le instaleze în schimb din Google Play. Deși malware-ul poate ajunge încă pe serviciul Google, atunci când este detectat, poate fi eliminat de Google Play Protect.
Peste 200 de aplicații malitioase pe Google Play descărcate de milioane de ori
Malware-ul TrickMo fură PIN-urile Android folosind un ecran de blocare fals
Noua versiune a malware-ului Octo Android se impersonalizează ca NordVPN, Google Chrome
Rusia vizează recruții ucraineni cu malware de Windows și Android
Noul malware Vo1d infectează 1,3 milioane de cutii de streaming Android
Leave a Reply