Μια νέα έκδοση του κακόβουλου λογισμικού FakeCall για Android παρασύρει τις εξερχόμενες κλήσεις από έναν χρήστη προς την τράπεζά του, ανακατευθύνοντάς τους στον αριθμό τηλεφώνου του εισβολέα αντ’ αυτού.
Στόχος της τελευταίας έκδοσης παραμένει η κλοπή ευαίσθητων πληροφοριών και χρημάτων των ανθρώπων από τους τραπεζικούς τους λογαριασμούς.
Το FakeCall (ή FakeCalls) είναι ένα τραπεζικό trojan με επίκεντρο το φωνητικό ψάρεμα, στο οποίο τα θύματα εξαπατώνται μέσω δόλιων κλήσεων που υποδύονται τις τράπεζες, ζητώντας τους να μεταφέρουν ευαίσθητες πληροφορίες.
Η Kaspersky ανέφερε για πρώτη φορά το trojan τον Απρίλιο του 2022, με ρεαλιστικές διεπαφές κλήσης για να ξεγελάσουν τα θύματα ώστε να πιστέψουν ότι συνομιλούν με την τράπεζά τους.
Μια αναφορά του Μαρτίου 2023 από το CheckPoint προειδοποιούσε ότι η FakeCall υποδύθηκε πλέον περισσότερους από 20 χρηματοπιστωτικούς οργανισμούς, προσέφερε στόχους χαμηλού επιτοκίου και παρουσίαζε νέους μηχανισμούς φοροδιαφυγής για χαμηλότερα ποσοστά ανίχνευσης.
Εκτός από το vishing (φωνητικό ψάρεμα), το FakeCall θα μπορούσε επίσης να καταγράφει ζωντανές ροές ήχου και βίντεο από τις μολυσμένες συσκευές, επιτρέποντας στους εισβολείς να κλέβουν ευαίσθητα δεδομένα χωρίς αλληλεπίδραση με θύμα.
Κλήσεις αεροπειρατείας
Σε προηγούμενες εκδόσεις, το FakeCall παρότρυνε τους χρήστες να καλέσουν την τράπεζα μέσα από μια εφαρμογή, υποδυόμενοι το χρηματοπιστωτικό ίδρυμα. Στη συνέχεια, επιστρώθηκε μια ψεύτικη οθόνη που έδειχνε τον πραγματικό αριθμό της τράπεζας ενώ το θύμα ήταν συνδεδεμένο με τους απατεώνες.
Στην τελευταία έκδοση που αναλύθηκε από το Zimperium, η κακόβουλη εφαρμογή ορίζεται ως ο προεπιλεγμένος χειριστής κλήσεων, ζητώντας από τον χρήστη να εγκρίνει αυτήν την ενέργεια κατά την εγκατάσταση της εφαρμογής μέσω ενός Android APK.
Το πρόγραμμα χειρισμού κλήσεων στο Android διαχειρίζεται τις εισερχόμενες και τις εξερχόμενες κλήσεις, χρησιμεύοντας ουσιαστικά ως η κύρια διεπαφή που επεξεργάζεται την κλήση, τη σύνδεση και τον τερματισμό κλήσεων.
Όταν το κακόβουλο λογισμικό ζητά από τον χρήστη να το ορίσει ως τον προεπιλεγμένο χειριστή κλήσεων, κερδίζει άδεια να παρακολουθεί και να χειρίζεται τόσο τις εξερχόμενες όσο και τις εισερχόμενες κλήσεις.
Μια ψεύτικη διεπαφή κλήσεων μιμείται το πραγματικό πρόγραμμα κλήσης Android, εμφανίζοντας αξιόπιστες πληροφορίες επαφών και ονόματα, ανεβάζοντας το επίπεδο εξαπάτησης σε σημείο που είναι δύσκολο να αντιληφθούν τα θύματα.
Αυτό που καθιστά αυτό το κακόβουλο λογισμικό τόσο επικίνδυνο είναι ότι όταν ένας χρήστης επιχειρεί να καλέσει το χρηματοπιστωτικό του ίδρυμα, το κακόβουλο λογισμικό κλέβει κρυφά την κλήση και το ανακατευθύνει στον αριθμό τηλεφώνου ενός εισβολέα.
“Όταν το άτομο που έχει παραβιαστεί επιχειρεί να επικοινωνήσει με το χρηματοπιστωτικό του ίδρυμα, το κακόβουλο λογισμικό ανακατευθύνει την κλήση σε έναν δόλιο αριθμό που ελέγχεται από τον εισβολέα”, εξηγεί η νέα αναφορά Zimperium.
“Η κακόβουλη εφαρμογή θα εξαπατήσει τον χρήστη, εμφανίζοντας μια πειστική ψεύτικη διεπαφή χρήστη που φαίνεται να είναι η νόμιμη διεπαφή κλήσεων του Android που δείχνει τον αριθμό τηλεφώνου της πραγματικής τράπεζας.”
«Το θύμα δεν θα γνωρίζει τη χειραγώγηση, καθώς η ψεύτικη διεπαφή χρήστη του κακόβουλου λογισμικού θα μιμηθεί την πραγματική τραπεζική εμπειρία, επιτρέποντας στον εισβολέα να εξάγει ευαίσθητες πληροφορίες ή να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στους οικονομικούς λογαριασμούς του θύματος.
Πηγή: Zimperium
Νέες δυνατότητες και βελτιώσεις
Παρά τη βαρύτερη συσκότιση κώδικα, το Zimperium ανακάλυψε επίσης ότι οι πιο πρόσφατες εκδόσεις FakeCall προσθέτουν αρκετές βελτιώσεις και μηχανισμούς επίθεσης, αν και μερικοί είναι ακόμη υπό ανάπτυξη.
Πρώτα, το FakeCall πρόσθεσε μια συσκευή ακρόασης Bluetooth και μια οθόνη κατάστασης οθόνης, και τα δύο χωρίς ακόμη κακόβουλη λειτουργία.
Το κακόβουλο λογισμικό αξιοποιεί τώρα την Υπηρεσία Προσβασιμότητας του Android για να αποκτήσει εκτεταμένο έλεγχο στη διεπαφή χρήστη, επιτρέποντάς του να παρακολουθεί τη δραστηριότητα του dialer, να εκχωρεί αυτόματα στον εαυτό του άδειες και να προσομοιώνει ενέργειες χρήστη, όπως κλικ και χειρονομίες.
Μια νέα υπηρεσία ακρόασης τηλεφώνου δημιουργεί ένα κανάλι επικοινωνίας με τον διακομιστή εντολών και ελέγχου (C2) του εισβολέα, επιτρέποντάς του να εκδώσει εντολές για να εκτελέσει διάφορες ενέργειες, όπως λήψη τοποθεσίας συσκευής, διαγραφή εφαρμογών, εγγραφή ήχου ή βίντεο και επεξεργασία επαφών.
Οι νέες εντολές που προστέθηκαν στην πιο πρόσφατη παραλλαγή περιλαμβάνουν:
- Διαμορφώστε το κακόβουλο λογισμικό ως τον προεπιλεγμένο χειριστή κλήσεων.
- Ξεκινήστε τη ζωντανή ροή του περιεχομένου της οθόνης της συσκευής.
- Τραβήξτε ένα στιγμιότυπο οθόνης της οθόνης της συσκευής.
- Ξεκλειδώστε τη συσκευή εάν είναι κλειδωμένη και απενεργοποιήστε προσωρινά το αυτόματο κλείδωμα.
- Χρησιμοποιήστε υπηρεσίες προσβασιμότητας για να μιμηθείτε το πάτημα του κουμπιού αρχικής οθόνης.
- Διαγράψτε τις εικόνες που καθορίζονται από τον διακομιστή C2.
- Πρόσβαση, συμπίεση και μεταφόρτωση εικόνων και μικρογραφιών από τον χώρο αποθήκευσης, στοχεύοντας συγκεκριμένα στο φάκελο DCIM για φωτογραφίες.
Αυτές οι προσθήκες δείχνουν ότι το FakeCall βρίσκεται υπό ενεργό ανάπτυξη και οι χειριστές του εργάζονται για να το καταστήσουν ένα πιο επιθετικό και τρομερό τραπεζικό trojan.
Το Zimperium έχει δημοσίευσε κατάλογο δεικτών συμβιβασμού (IoC), συμπεριλαμβανομένων των ονομάτων πακέτων εφαρμογών και των αθροισμάτων ελέγχου APK, ώστε οι χρήστες να μπορούν να αποφύγουν τις κακόβουλες εφαρμογές που φέρουν το κακόβουλο λογισμικό. Ωστόσο, αυτά αλλάζουν συχνά από τους παράγοντες της απειλής.
Όπως πάντα, προτείνεται στους χρήστες να αποφεύγουν τη μη αυτόματη εγκατάσταση εφαρμογών Android μέσω APK και να τις εγκαταστήσουν από το Google Play. Ενώ το κακόβουλο λογισμικό εξακολουθεί να μπορεί να εισέλθει στην υπηρεσία της Google, όταν εντοπιστεί, μπορεί να αφαιρεθεί από το Google Play Protect.
VIA: bleepingcomputer.com
