MKD-CIRT National Centre for Computer Incident Response
„FakeCalls“ Android малвер повторно циркулира во Јужна Кореја, имитирајќи телефонски повици за над 20 финансиски организации и обидувајќи се да ги измами банкарите да ги дадат деталите од нивните кредитни картички.
Конкретниот малвер не е нов, бидејќи Kaspersky објави извештај за него пред една година. Сепак, истражувачите на Check Point сега известуваат дека поновите верзии имплементирале повеќе механизми што не се видени во претходните примероци.
„Откривме повеќе од 2500 примероци од FakeCalls малвер кои користеа различни комбинации на имитирани финансиски организации и имплементираа техники за антианализа“, стои во извештајот на CheckPoint.
„Програмерите посветија посебно внимание на заштитата на нивниот малициозен софтвер, користејќи неколку уникатни техники што претходно не сме ги виделе.
Првиот чекор од нападот е инсталирање на малвер на уредот на жртвата, што може да се случи преку phishing. black SEO или malvertizing.
FakeCalls малвер се дистрибуира на лажни банкарски апликации кои имитираат големи финансиски институции во Кореја, така што жртвите мислат дека користат легитимна апликација од доверлив продавач.
Нападот започнува со тоа што апликацијата ѝ нуди на жртвата заем со ниска каматна стапка. Штом жртвата е заинтересирана, малверот иницира телефонски повик што репродуцира снимка од вистинската поддршка за корисници на банката со инструкции за одобрување на барањето за заем.
Сепак, малверот може да го маскира повиканиот број, кој им припаѓа на напаѓачите, и наместо тоа да го прикаже вистинскиот број на имитираната банка, правејќи разговорот да изгледа реален.
Во одреден момент, жртвата е принудена да ги потврди деталите за нивната кредитна картичка, наводно потребни за добивање на заемот, кои потоа се украдени од страна на напаѓачите.
Покрај vishing процесот, FakeCalls може да снима аудио и видео преноси во живо од компромитираниот уред, што може да им помогне на напаѓачите да соберат дополнителни информации.
Во најновите примероци фатени и анализирани од истражувачите на CheckPoint, FakeCalls вклучува три нови техники кои му помагаат да избегне откривање.
Првиот механизам се нарекува „multi-disk“, кој вклучува манипулирање со податоците во ZIP заглавјето на APK датотеката (Android пакет), поставувајќи ненормално високи вредности за EOCD записот за да се збунат алатките за автоматска анализа.
Втората техника вклучува манипулација со AndroidManifest.xml датотеката за да се направи нејзиниот почетен маркер да не се разликува, да се измени структурата на стринговите и стиловите и да се манипулира со поместувањето на последната низа за да се предизвика неправилно толкување.
Третиот метод е додавање на многу датотеки во вгнездените директориуми во APK папката, што резултира со имиња и патеки на датотеки што надминуваат 300 знаци.
Check Point изјави дека ова може да предизвика проблеми за некои безбедносни алатки, поради што тие не успеваат да го откријат малициозниот софтвер.
Според статистиката на јужнокорејската влада, vishing (voice phishing) е проблем што ги чинел жртвите во земјата 600 милиони долари само во 2020 година, додека имало 170.000 пријавени жртви помеѓу 2016 и 2020 година.
Додека FakeCalls сеуште е присутен во Јужна Кореја, може лесно да ги прошири своите дејства во други региони ако неговите програмери развијат нов јазичен комплет и склоп на апликации за да таргетираат банки во различни земји.
Vishing отсекогаш бил тежок проблем, но подемот на говорни модели за машинско учење кои можат да генерираат природен говор и да имитираат гласови на реални лица со минимален внес на податоци, наскоро ќе ја зголеми заканата.
Извор: BleepingComputer
