Daniel GóreckiNajbardziej niepokojącym aspektem FakeCall jest jego zdolność do symulowania połączeń przychodzących od pracowników banku. Funkcja ta ma na celu zapewnienie ofiar, że nic się nie dzieje, i nakłonienie ich do ujawnienia danych uwierzytelniających konta za pomocą taktyk socjotechnicznych.
Historia i ewolucja FakeCall
Po raz pierwszy FakeCall został zidentyfikowany w 2022 roku jako złośliwe oprogramowanie stworzone w celu przejmowania kont bankowych. Oprogramowanie to działa, przechwytując połączenia do instytucji finansowych i przekierowując je do cyberprzestępców, którzy podszywają się pod przedstawicieli banków, aby wyłudzić wrażliwe informacje. Ten sposób oszustwa znany jest jako „vishing” (ang. voice phishing). Od momentu wykrycia, FakeCall przeszedł znaczące zmiany i ponownie pojawił się w bardziej zaawansowanej formie, stanowiąc jeszcze większe zagrożenie dla użytkowników Androida na całym świecie.
Nowe warianty i zaawansowane możliwości
Firma Zimperium, zajmująca się bezpieczeństwem mobilnym, odkryła aż 13 nowych wariantów FakeCall. Te wersje demonstrują szereg ulepszonych i nowych funkcji, które świadczą o znacznych inwestycjach cyberprzestępców.
Jednym z najważniejszych ulepszeń jest zastosowanie zaawansowanego zaciemniania kodu. Nowe warianty wykorzystują plik .dex, który jest dynamicznie deszyfrowany i ładowany, co utrudnia jego wykrycie i analizę.
Metody infekcji i sposób działania FakeCall
Podstawowa metoda infekcji w FakeCall pozostała niezmieniona. Oprogramowanie zazwyczaj trafia na urządzenie ofiary poprzez atak phishingowy, który nakłania użytkownika do pobrania pliku APK działającego jako „dropper”. Po instalacji dropper uruchamia złośliwy ładunek, który nawiązuje połączenie z serwerem Command and Control (C2).
Główna funkcja FakeCall polega na przechwytywaniu i manipulowaniu połączeniami telefonicznymi. Po instalacji, malware prosi użytkownika o ustawienie go jako domyślnej aplikacji do obsługi połączeń. To z pozoru nieszkodliwe żądanie pozwala mu na szeroką kontrolę nad wszystkimi przychodzącymi i wychodzącymi połączeniami.
System przechwytywania połączeń FakeCall umożliwia monitorowanie połączeń wychodzących i przekazywanie tych informacji do serwera C2. Kiedy ofiara próbuje skontaktować się ze swoim bankiem, oprogramowanie może przekierować połączenie na numer kontrolowany przez oszustów. Dla utrzymania iluzji, FakeCall wyświetla realistyczny interfejs użytkownika, który imituje prawdziwy ekran połączeń Androida, zawierający nawet numer banku.
Nowe komponenty w malware
Najnowsze warianty FakeCall zawierają kilka nowych elementów, z których niektóre wydają się być w fazie rozwoju. Bluetooth Receiver monitoruje stan i zmiany w połączeniach Bluetooth, choć jego dokładne przeznaczenie pozostaje niejasne. Z kolei Screen Receiver nadzoruje stan ekranu, chociaż analiza kodu źródłowego nie ujawnia jego szkodliwej aktywności.
Nowa usługa dostępności, wywodząca się z Android Accessibility Service, zapewnia złośliwemu oprogramowaniu znaczne możliwości kontroli nad interfejsem użytkownika i przechwytywania informacji wyświetlanych na ekranie, co potwierdza rosnącą złożoność malware. Bazując na analizie wcześniejszych wersji, można przypuszczać, że usługa ta monitoruje aktywność w dialerze, automatycznie przyznaje uprawnienia oprogramowaniu, a nawet pozwala na zdalne przejęcie pełnej kontroli nad interfejsem urządzenia ofiary.
FakeCall zawiera również Phone Listener Service, który działa jako pomost między oprogramowaniem a serwerem C2, umożliwiając napastnikom wydawanie poleceń i wykonywanie działań na zainfekowanym urządzeniu.
Ewolucja FakeCall ukazuje, jak niebezpieczne mogą być nowe warianty złośliwego oprogramowania, które dzięki zaawansowanej technologii są trudniejsze do wykrycia i bardziej efektywne w przechwytywaniu danych. Użytkownicy muszą być więc niezwykle czujni, jeśli nie chcą stracić oszczędności swojego życia.
