Variantele „FakeCall” au multe caracteristici noi sofisticate
Concluzie: Cel mai alarmant aspect al FakeCall este capacitatea sa de a simula apelurile primite de la angajații băncii. Această funcție este concepută pentru a asigura victimele că nimic nu este în neregulă și pentru a le păcăli să divulge acreditările contului prin tactici de inginerie socială.
Identificat pentru prima dată în 2022, FakeCall este un software rău intenționat care a fost dezvoltat pentru a deturna conturile bancare. Face acest lucru prin interceptarea apelurilor efectuate către instituțiile financiare și apoi redirecționarea acestora către infractorii cibernetici care se uită la reprezentanții băncii pentru a extrage informații sensibile și pentru a obține acces neautorizat la fondurile victimelor – o escrocherie numită phishing vocal sau „vishing” pe scurt. În anii de după, a suferit o evoluție semnificativă și a reapărut cu noi capabilități alarmante, prezentând un pericol și mai mare pentru utilizatorii de Android din întreaga lume.
Un total de 13 noi variante de FakeCall au fost descoperite de cercetătorii de la firma de securitate mobilă Zimperium. Acestea prezintă o serie de capabilități noi și îmbunătățite care indică o investiție substanțială din partea atacatorilor.
Unul dintre cele mai semnificative progrese este nivelul crescut de ofuscare folosit de malware. Noile variante utilizează un fișier .dex decriptat și încărcat dinamic pentru a-și ascunde codul rău intenționat, făcând detectarea și analiza mai dificile.
Metoda principală de infectare a FakeCall este similară cu versiunile anterioare. Malware-ul pătrunde de obicei în dispozitivul unei victime printr-un atac de tip phishing, păcălind utilizatorii să descarce un fișier APK care acționează ca un dropper. Odată instalat, acest dropper implementează sarcina utilă rău intenționată, stabilind comunicarea cu un server de comandă și control (C2).
Funcționalitatea de bază a malware-ului se învârte în jurul capacității sale de a intercepta și manipula apelurile telefonice. Când este instalat, FakeCall solicită utilizatorului să îl seteze ca handler de apel implicit al dispozitivului. Această solicitare aparent inofensivă oferă malware-ului un control extins asupra tuturor apelurilor primite și efectuate.
Sistemul sofisticat de interceptare a apelurilor FakeCall îi permite să monitorizeze apelurile efectuate și să transmită aceste informații către serverul său C2. Când o victimă încearcă să-și contacteze banca, malware-ul poate redirecționa apelul către un număr controlat de atacatori. Pentru a menține înșelăciunea, FakeCall afișează o interfață de utilizator falsă convingătoare care imită interfața de apel Android legitimă, completă cu numărul de telefon real al băncii.
Cele mai recente variante de FakeCall introduc câteva componente noi, dintre care unele par să fie încă în dezvoltare. Un receptor Bluetooth monitorizează starea Bluetooth și se modifică, deși scopul său exact rămâne neclar. În mod similar, un receptor de ecran monitorizează starea ecranului fără nicio activitate rău intenționată aparentă în codul sursă.
Un nou Serviciu de Accesibilitate, moștenit de la Serviciul de Accesibilitate Android, acordă malware-ului un control semnificativ asupra interfeței cu utilizatorul și capacitatea de a capta informațiile afișate pe ecran; aceasta demonstrează gradul de sofisticare crescut al malware-ului. Pe baza analizei versiunilor anterioare, ar putea să monitorizeze activitatea dialer-ului, să acorde automat permisiuni malware-ului și chiar să permită atacatorilor de la distanță să preia controlul deplin asupra interfeței de utilizare a dispozitivului victimei.
În plus, un serviciu de ascultare a telefonului acționează ca o punte între malware și serverul său de comandă și control, permițând atacatorilor să emită comenzi și să execute acțiuni pe dispozitivul infectat.