Biến thể phần mềm độc hại FakeCall mới chiếm quyền điều khiển thiết bị Android

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản mới của nhóm phần mềm độc hại Android nổi tiếng có tên là FakeCall, sử dụng kỹ thuật lừa đảo bằng giọng nói (hay còn gọi là vishing) để lừa người dùng cung cấp thông tin cá nhân của họ.

"FakeCall là một cuộc tấn công Vishing cực kỳ tinh vi, sử dụng phần mềm độc hại để kiểm soát gần như hoàn toàn thiết bị di động, bao gồm cả việc chặn các cuộc gọi đến và đi", nhà nghiên cứu Fernando Ortega của Zimperium cho biết trong báo cáo được công bố tuần trước.

"Nạn nhân bị lừa gọi đến các số điện thoại lừa đảo do kẻ tấn công kiểm soát và bắt chước trải nghiệm người dùng thông thường trên thiết bị."

FakeCall, còn được theo dõi dưới tên FakeCalls và Letscall, đã là chủ đề của nhiều cuộc phân tích của Kaspersky, Check Point và ThreatFabric kể từ khi xuất hiện vào tháng 4 năm 2022. Các đợt tấn công trước đây chủ yếu nhắm vào người dùng thiết bị di động ở Hàn Quốc.

Tên của các gói phần mềm độc hại, tức là các ứng dụng thả, mang phần mềm độc hại được liệt kê bên dưới -

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• xkeqoi.iochvm.vmyab

Giống như các loại phần mềm độc hại ngân hàng Android khác được biết đến là có thể lạm dụng API dịch vụ trợ năng để chiếm quyền kiểm soát thiết bị và thực hiện các hành động độc hại, FakeCall sử dụng nó để thu thập thông tin hiển thị trên màn hình và cấp cho chính nó các quyền bổ sung khi cần thiết.

Một số tính năng gián điệp khác bao gồm thu thập nhiều loại thông tin, chẳng hạn như tin nhắn SMS, danh sách liên lạc, vị trí và ứng dụng đã cài đặt, chụp ảnh, ghi lại luồng trực tiếp từ cả camera trước và sau, thêm và xóa danh bạ, thu thập đoạn âm thanh, tải hình ảnh lên và mô phỏng luồng video về mọi hành động trên thiết bị bằng API MediaProjection.

Các phiên bản mới hơn cũng được thiết kế để theo dõi trạng thái Bluetooth và trạng thái màn hình thiết bị. Nhưng điều khiến phần mềm độc hại trở nên nguy hiểm hơn là nó hướng dẫn người dùng đặt ứng dụng làm trình quay số mặc định, do đó có khả năng theo dõi tất cả các cuộc gọi đến và đi.

Điều này không chỉ cho phép FakeCall chặn và chiếm quyền điều khiển các cuộc gọi mà còn cho phép nó sửa đổi số đã gọi, chẳng hạn như số gọi đến ngân hàng, thành một số điện thoại giả mạo do chúng kiểm soát và dụ nạn nhân thực hiện các hành động không mong muốn.

Ngược lại, các biến thể trước đây của FakeCall được phát hiện nhắc nhở người dùng gọi đến ngân hàng từ bên trong ứng dụng độc hại mô phỏng nhiều tổ chức tài chính khác nhau dưới hình thức cung cấp khoản vay với lãi suất thấp hơn.

Ortega cho biết: "Khi cá nhân bị xâm nhập cố gắng liên hệ với tổ chức tài chính của họ, phần mềm độc hại sẽ chuyển hướng cuộc gọi đến một số điện thoại gian lận do kẻ tấn công kiểm soát".

"Ứng dụng độc hại sẽ lừa người dùng, hiển thị giao diện người dùng giả mạo trông giống như giao diện cuộc gọi hợp lệ của Android, hiển thị số điện thoại của ngân hàng thật. Nạn nhân sẽ không biết về sự thao túng này, vì giao diện người dùng giả mạo của phần mềm độc hại sẽ bắt chước trải nghiệm ngân hàng thực tế, cho phép kẻ tấn công trích xuất thông tin nhạy cảm hoặc truy cập trái phép vào tài khoản tài chính của nạn nhân."

Sự xuất hiện của các chiến lược lừa đảo mới, tinh vi (hay còn gọi là lừa đảo qua điện thoại di động) làm nổi bật phản ứng đối với các biện pháp phòng thủ an ninh được cải thiện và việc sử dụng phổ biến các ứng dụng nhận dạng người gọi, có thể đánh dấu các số đáng ngờ và cảnh báo người dùng về thư rác tiềm ẩn.

Trong những tháng gần đây, Google cũng đã thử nghiệm một sáng kiến bảo mật tự động chặn việc tải các ứng dụng Android có khả năng không an toàn, bao gồm cả những ứng dụng yêu cầu dịch vụ trợ năng, trên khắp Singapore, Thái Lan, Brazil và Ấn Độ.