Вредоносное ПО FakeCalls может скрывать телефонный номер мошенника

Исследователи Check Point сообщают , что вредоносное ПО для Android «FakeCalls» распространяется в Южной Корее, имитируя телефонные звонки в более чем 20 финансовых организаций и пытаясь обманом заставить клиентов банка выдать данные своих кредитных карт.

Эксперты обнаружили, что последняя версия FakeCalls получила несколько механизмов уклонения от обнаружения, которых не было в предыдущих образцах. Было найдено более 2500 образцов FakeCalls, которые имитировали финансовые организации и реализовывали методы антианализа.

Первым шагом атаки является установка вредоносного приложения на устройство жертвы с помощью фишинга или вредоносной рекламы на сайтах.

FakeCalls распространяется в поддельных банковских приложениях, которые выдают себя за крупные корейские финансовые учреждения, поэтому жертвы думают, что используют легитимное приложение от надежного поставщика.

Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.

Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.

Схема атаки FakeCalls

В дополнение к процессу вишинга FakeCalls может захватывать аудио- и видеопотоки со взломанного устройства, что может помочь хакерам собрать дополнительную информацию.

В анализированных образцах FakeCalls включает в себя 3 новых метода избегания обнаружения:

1. Многодисковый – манипулирование данными заголовка файла APK, а также установку аномально высоких значений для записи EOCD, чтобы запутать инструменты автоматизированного анализа;
2. Манипулирование файлом AndroidManifest.xml, чтобы сделать его начальный маркер неразличимым, изменить структуру строк и стилей, и изменить смещение последней строки, чтобы вызвать неправильную интерпретацию;
3. Добавление множества файлов во вложенные каталоги в папке ресурсов APK, в результате чего имена файлов и пути превышают 300 символов. По словам Check Point, это может вызвать проблемы для некоторых инструментов безопасности, из-за чего они не смогут обнаружить вредоносное ПО.

Согласно статистике правительства Южной Кореи, вишинг только в 2020 году обошёлся жертвам в стране в $600 млн.. Хотя FakeCalls сосредоточен в Южной Корее, вредоносное ПО может легко распространить свою деятельность на другие регионы, если его разработчики или партнёры разработают новый языковой пакет и оверлей приложений для целевых банков в разных странах.