Cybersecurity-onderzoekers hebben een nieuwe versie ontdekt van een bekende Android-malwarefamilie genaamd Nepoproep dat gebruik maakt van voice phishing-technieken (ook wel vishing-technieken genoemd) om gebruikers te misleiden zodat ze afstand doen van hun persoonlijke gegevens.
“FakeCall is een uiterst geavanceerde Vishing-aanval die gebruik maakt van malware om vrijwel de volledige controle over het mobiele apparaat over te nemen, inclusief het onderscheppen van inkomende en uitgaande oproepen”, zei Zimperium-onderzoeker Fernando Ortega in een vorige week gepubliceerd rapport.
“Slachtoffers worden misleid om frauduleuze telefoonnummers te bellen die door de aanvaller worden beheerd en die de normale gebruikerservaring op het apparaat nabootsen.”
FakeCall, ook gevolgd onder de namen FakeCalls en Letscall, is sinds zijn opkomst in april 2022 het onderwerp geweest van meerdere analyses door Kaspersky, Check Point en ThreatFabric. Eerdere aanvalsgolven waren vooral gericht op mobiele gebruikers in Zuid-Korea.
De namen van de kwaadaardige pakketnamen, dat wil zeggen dropper-apps, die de malware bevatten, worden hieronder vermeld:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistent
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Net als andere malwarefamilies voor Android-bankieren waarvan bekend is dat ze de API’s van toegankelijkheidsdiensten misbruiken om de controle over de apparaten over te nemen en kwaadwillige acties uit te voeren, gebruikt FakeCall deze om informatie vast te leggen die op het scherm wordt weergegeven en zichzelf indien nodig aanvullende machtigingen te verlenen.
Enkele van de andere spionagefuncties zijn onder meer het vastleggen van een breed scala aan informatie, zoals sms-berichten, contactlijsten, locaties en geïnstalleerde apps, het maken van foto’s, het opnemen van een livestream van zowel de camera aan de achterkant als aan de voorkant, het toevoegen en verwijderen van contacten , audiofragmenten verzamelen, afbeeldingen uploaden en een videostream imiteren van alle acties op het apparaat met behulp van de MediaProjection API.
De nieuwere versies zijn ook ontworpen om de Bluetooth-status en de schermstatus van het apparaat te controleren. Maar wat de malware gevaarlijker maakt, is dat deze de gebruiker de opdracht geeft de app in te stellen als de standaardkiezer, waardoor deze de mogelijkheid krijgt om alle inkomende en uitgaande oproepen in de gaten te houden.
Hierdoor kan FakeCall niet alleen oproepen onderscheppen en kapen, maar kan het ook een gekozen nummer, zoals dat van een bank, wijzigen in een frauduleus nummer onder hun controle, en de slachtoffers ertoe verleiden onbedoelde acties uit te voeren.
Daarentegen bleek dat eerdere varianten van FakeCall gebruikers ertoe aanzetten de bank te bellen vanuit de kwaadaardige app, die verschillende financiële instellingen imiteerde onder het mom van een leningaanbod met een lagere rente.
“Wanneer de gecompromitteerde persoon probeert contact op te nemen met zijn financiële instelling, stuurt de malware de oproep door naar een frauduleus nummer dat wordt beheerd door de aanvaller”, aldus Ortega.
“De kwaadaardige app zal de gebruiker misleiden door een overtuigende nep-UI weer te geven die de legitieme Android-belinterface lijkt te zijn en het telefoonnummer van de echte bank toont. Het slachtoffer zal zich niet bewust zijn van de manipulatie, omdat de nep-UI van de malware de daadwerkelijke bankervaring zal nabootsen , waardoor de aanvaller gevoelige informatie kan extraheren of ongeoorloofde toegang kan krijgen tot de financiële rekeningen van het slachtoffer.”
De opkomst van nieuwe, geavanceerde misishing-strategieën (ook wel mobiele phishing-strategieën genoemd) benadrukt een tegenreactie op verbeterde beveiligingsmaatregelen en het wijdverbreide gebruik van toepassingen voor nummerherkenning, die verdachte nummers kunnen markeren en gebruikers kunnen waarschuwen voor mogelijke spam.
De afgelopen maanden heeft Google ook geëxperimenteerd met een beveiligingsinitiatief dat automatisch het sideloaden van potentieel onveilige Android-apps blokkeert, inclusief de apps die om toegankelijkheidsservices vragen, in Singapore, Thailand, Brazilië en India.