Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Cybernews
  3. Artykuł
Powrót

Uważaj na złośliwe oprogramowanie FakeCall

04 listopad 2024

Uważaj na złośliwe oprogramowanie FakeCall
Gościńska Joanna

Gościńska Joanna

Złośliwe oprogramowanie FakeCall stosuje metodę zwaną vishingiem (phishing głosowy), która polega na wykorzystaniu fałszywych rozmów telefonicznych lub wiadomości głosowych w celu nakłonienia ofiar do ujawnienia poufnych danych, takich jak loginy, numery kart kredytowych czy informacje bankowe – ostrzega Fernando Ortega, ekspert ds. złośliwego oprogramowania w firmie Zimperium.

Dobroczynnie NTHW

Jak przebiega atak FakeCall Vishing?

Atak rozpoczyna się, gdy ofiara pobiera plik APK na swoje urządzenie z systemem Android w wyniku phishingu. Plik działa jako tzw. dropper, którego zadaniem jest zainstalowanie na urządzeniu głównego, szkodliwego ładunku (drugi etap ataku). Próbki, które przeanalizowaliśmy, należą właśnie do tego drugiego etapu.

Malware FakeCall nawiązuje połączenie z serwerem Command and Control (C2), co pozwala mu realizować różne operacje mające na celu oszukanie użytkownika. Komunikacja odbywa się poprzez wymianę komunikatów między oprogramowaniem a serwerem C2.

Najnowsze warianty tego malware są silnie zaciemnione, lecz wykazują cechy typowe dla wcześniejszych wersji. Nasze badania rozpoczęły się od analizy pliku AndroidManifest.xml aplikacji, który zawierał długą listę aktywności, usług i odbiorników (punktów wejścia). Brakowało ich jednak w zdekompilowanym kodzie, co wskazywało na bardziej zaawansowaną strukturę malware, która dynamicznie odszyfrowuje i ładuje plik.dex z brakującymi fragmentami kodu.

Zespół badawczy Zimperium wydobył plik.dex z pamięci urządzenia, co umożliwiło przeprowadzenie bardziej szczegółowej analizy statycznej złośliwego oprogramowania. W trakcie badań pojawił się schemat: usługi, odbiorniki i działania wykazywały silne podobieństwo do wcześniejszej wersji malware o nazwie com.secure.assistant. To wskazuje na ewolucję strategii ataku – część złośliwego kodu została przeniesiona do kodu natywnego, co utrudnia jego wykrycie.

Aby lepiej zrozumieć działanie nowego wariantu, sięgnięto do kodu starszej wersji, co może rzucić światło na zachowanie obecnej próbki. Taka analiza porównawcza dostarczy cennych informacji na temat możliwych funkcji złośliwego oprogramowania.

Ewolucja funkcjonalności. Nowe możliwości malware

Nowe warianty malware FakeCall wprowadzają dodatkowe funkcje, z których niektóre są prawdopodobnie jeszcze w fazie rozwoju. Oto przegląd zaobserwowanych funkcji:

  • odbiornik Bluetooth — działa jako nasłuch, monitorując stan Bluetooth i wszelkie jego zmiany. W kodzie źródłowym nie widać jednak dowodów złośliwej aktywności, co sugeruje, że może być przygotowany do potencjalnej, przyszłej funkcji.
  • odbiornik ekranowy — podobnie jak odbiornik Bluetooth, ten komponent jedynie monitoruje stan ekranu; (włączony/wyłączony) i nie wykazuje bezpośrednio złośliwego działania, pozostawiając otwartą możliwość jego przyszłego wykorzystania.

Malware wykorzystuje funkcje Android Accessibility Service, co pozwala mu na szeroką kontrolę nad interfejsem użytkownika i przechwytywanie informacji wyświetlanych na ekranie. Dekompilacja kodu ujawnia obecność metod takich jak `onAccessibilityEvent()` i `onCreate()`, jednak ich złośliwe intencje są ukryte w kodzie natywnym. Analiza wcześniejszych wersji sugeruje, że usługa ta może umożliwiać:

  • Monitorowanie aktywności dialera. Usługa może wykrywać działania w aplikacji dialera (np. `com.skt.prod.dialer`), pozwalając na rozpoznanie momentu, gdy użytkownik korzysta z dialera zewnętrznego.
  • Automatyczne przyznawanie uprawnień. Usługa jest zdolna do identyfikowania komunikatów dotyczących uprawnień systemowych (np. `com.google.android.permissioncontroller`, `com.android.systemui`). Po wykryciu określonych zdarzeń, takich jak `TYPE_WINDOW_STATE_CHANGED`, malware może automatycznie przyznawać sobie uprawnienia bez zgody użytkownika.
  • Zdalne sterowanie. Atakujący mogą przejąć pełną kontrolę nad interfejsem urządzenia, co umożliwia symulowanie interakcji, takich jak kliknięcia, gesty czy poruszanie się po aplikacjach, pozwalając na manipulację urządzeniem.
  • Usługa słuchania telefonu. Usługa ta odpowiada za komunikację między malware a serwerem Command and Control (C2), umożliwiając zdalne wydawanie poleceń i przeprowadzanie działań na zainfekowanym urządzeniu. Nowy wariant zachował funkcje swojego poprzednika, ale zyskał także nowe opcje, które jeszcze bardziej zwiększają jego możliwości przełamywania zabezpieczeń urządzeń, przy czym część tych funkcji została przeniesiona do kodu natywnego, aby jeszcze lepiej maskować swoją aktywność.

Złośliwe oprogramowanie FakeCall w działaniu

Po zainstalowaniu aplikacja wymaga od użytkownika ustawienia jej jako domyślnego programu obsługi połączeń. Kiedy zostaje ustawiona jako domyślny dialer, zyskuje pełną kontrolę nad wszystkimi połączeniami przychodzącymi i wychodzącymi. Wykorzystując mechanizm `OutgoingCallReceiver`, przechwytuje intencję `android.intent.action.NEW_OUTGOING_CALL`, a następnie za pomocą `getResultData()` wyodrębnia numer telefonu. Aplikacja uruchamia wtedy własny, fałszywy interfejs, który wygląda jak natywna aplikacja do dzwonienia `com.android.dialer`, co umożliwia jej płynne wdrażanie złośliwych działań.

Główna funkcja tego malware polega na monitorowaniu połączeń wychodzących i przesyłaniu informacji na temat tych połączeń do serwera Command and Control (C2). Niesie to ze sobą istotne zagrożenia:

Oszustwa związane z tożsamością. Po uzyskaniu dostępu do połączeń, aplikacja może manipulować wybranym numerem telefonu, zastępując go numerem złośliwym za pomocą metody `setResultData()`. Taka manipulacja może skłonić użytkowników do wykonania fałszywych połączeń.

Przejęcie połączeń. Złośliwe oprogramowanie jest w stanie przechwytywać i kontrolować wszystkie połączenia, co umożliwia potajemne wykonywanie nieautoryzowanych połączeń. Użytkownicy mogą nie zdawać sobie z tego sprawy, dopóki nie usuną aplikacji lub nie zrestartują urządzenia.

Kiedy użytkownik próbuje zadzwonić do swojego banku, malware FakeCall przechwytuje połączenie i przekierowuje je na fałszywy numer kontrolowany przez cyberprzestępcę. Fałszywa aplikacja wyświetla przekonujący interfejs, który do złudzenia przypomina prawdziwy interfejs Androida, pokazując przy tym rzeczywisty numer banku. Dzięki temu ofiara nie zauważa manipulacji, a atakujący może w ten sposób wydobyć poufne dane lub uzyskać dostęp do kont finansowych.

 Działania Zimperium przeciwko FakeCall

 Zespół badaczy z Zimperium wykrył aż 13 aplikacji oraz 2 pliki.dex związane z nową kampanią FakeCall. Użytkownicy korzystający z rozwiązań Mobile Threat Defense (MTD) i Runtime Protection SDK (Zimperium zDefend) są w pełni chronieni przed FakeCall i jego wariantami dzięki opatentowanemu silnikowi wykrywania Dynamic On-Device Detection Engine, który został wdrożony w tych produktach.

Studia Cyberbezpieczeństwo WSiZ

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności