Android malver preusmerava korisničke pozive bankama na brojeve koje kontrolišu hakeri

Mobilni telefoni, 31.10.2024, 12:30 PM

Nova verzija malvera za Android FakeCall otima odlazne pozive korisnika ka njihovoj banci, i preusmerava ih na telefonski broj napadača. Cilj najnovije verzije poznatog malvera ostaje isti - krađa osetljivih podataka i novac ljudi sa njihovih bankovnih računa.

FakeCall (ili FakeCalls) je bankarski trojanac koji se koristi u vishing (voice pshishing) napadima, u kojima su žrtve prevarene pozivima tokom kojih se napadači lažno predstavljaju kao zaposleni u bankama, tražeći od njih da otkriju osetljive informacije.

Trojanca je otkrio Kaspersky u aprilu 2022. godine. Već tada je malver bio opremljen interfejsom za pozive koji je izgledao toliko realistično da su žrtve lako mogle poverovati da razgovoraju sa svojom bankom.

Izveštaj CheckPointa iz marta 2023. upozorio je da FakeCall u tom trenutku lažno predstavlja više od 20 banaka i da sajber kriminalci nude pozajmice sa niskom kamatom. Tadašnja verzija je imala i nove mehanizme koji su bili u funkciji smanjenja stope otkrivanja.

U ranijim verzijama, FakeCall je podsticao korisnike da pozovu banku iz aplikacije. Lažni ekran je prikazivao stvarni broj banke dok je žrtva bila povezivana sa prevarantima.

U najnovijoj verziji malver se postavlja kao podrazumevana aplikacija za pozive, tražeći od korisnika da odobri ovu radnju nakon instaliranja aplikacije preko Android APK. Aplikacija upravlja dolaznim i odlaznim pozivima, služeći kao interfejs koji obrađuje biranje, povezivanje i završavanje poziva.

Kada malver zatraži od korisnika da ga postavi kao podrazumevanu aplikaciju za pozive, dobija dozvolu da presreće i manipuliše i odlaznim i dolaznim pozivima.

Lažni interfejs oponaša stvarni Android birač brojeva, prikazujući pouzdane kontakt informacije i imena. Zato je žrtvama teško da primete prevaru.

Ono što ovaj malver čini toliko opasnim je to što kada korisnik pokuša da pozove svoju banku, malver preuzima poziv i preusmerava ga na telefonski broj napadača.

„Žrtva neće biti svesna manipulacije, jer će lažni korisnički interfejs malvera oponašati stvarno bankarsko iskustvo, omogućavajući napadaču da izvuče osetljive informacije ili dobije neovlašćeni pristup računima žrtve“, kažu istraživači kompanije Zimperium koji su otkrili novu verziju malvera.

Nova verzija FakeCalla dobila je nekoliko poboljšanja i mehanizama napada, mada su neki još uvek u razvoju.

Malver sada koristi Androidovu uslugu pristupačnosti kako bi dobio opsežnu kontrolu nad korisničkim interfejsom, što mu omogućava da nadgleda aktivnost birača, automatski sebi daje dozvole i simulira radnje korisnika poput klikova i pokreta. Najnovija varijanta malvera omogućava pravljenje skrinšotova, striming sadržaja na ekranu uređaja uživo, otključavanje uređaja ako je zaključan i privremeno isključivanje automatskog zaključavanja, oponašanje pritiska na dugme za početni ekran, brisanje slika, pristup i slanje slika sa uređaja na C2 server.

Ovo pokazuje da je FakeCall u razvoju, i da njegovi operateri rade na tome da ga učine veoma moćnim bankarskim trojancem.

Zimperium je objavio listu indikatora kompromisa (IoC), uključujući i nazive aplikacija u kojima je pronađen FakeCall kako bi korisnici mogli da ih izbegnu. Međutim, sajber kriminalci ih često menjaju.

Preporučuje se da korisnici izbegavaju ručno instaliranje Android aplikacija preko APK-a i da ih instaliraju sa Google Play. Iako malver može da se pojavi i na Google Play, Google Play Protect može da ga ukloni kada se otkrije.

Foto: Daniel Romero | Unsplash