Вредоносное ПО Fakecalls продолжает атаковать Android новыми методами

Ср 26 Апрель 2023 07:16

Вредоносное ПО FakeCalls, известное своими атаками на пользователей Android в Южной Корее , обновило тактику обхода средств безопасности. Если раньше банковский троян нацеливался на южнокорейские организации с помощью поддельных приложений, то сейчас FakeCalls использует легитимные ключи подписи приложений, чтобы обойти средства обнаружения на основе сигнатур.

Согласно отчету McAfee, кампания FakeCalls использует ключи, украденные из законного приложения, популярного в Южной Корее. Поддельные приложения, использующие этот ключ, маскируются под настоящие банковские приложения и даже используют их значки.

Поддельное (сверху) и легитимное банковское приложение (снизу)

Чтобы избежать обнаружения, FakeCalls использует упаковщик для шифрования своего исходного кода. Расшифровка исходного кода выявила несколько возможностей вредоносного ПО:

Исследователи заметили, что в текущей кампании URL-адреса, связанные с FakeCalls, впервые были обнаружены в августе 2022 года. Некоторые из этих доменов сейчас не работают, но один из созданных тогда фишинговых сайтов все еще работает, маскируясь под сайт банка. Веб-страница последний раз обновлялась в октябре 2022 года. Рабочий домен связан с несколькими дополнительными IP-адресами, которые все еще находятся под контролем злоумышленника и используются в качестве панели управления C2-сервера для управления зараженными устройствами.

FakeCalls постоянно совершенствует свою тактику обхода систем безопасности. Более того, использование подлинных ключей приложений еще больше укрепило возможности имитации легитимных приложений. Чтобы оставаться в безопасности, эксперты рекомендуют загружать приложения только из официальных и надежных источников.

FakeCalls распространяется в поддельных банковских приложениях , которые выдают себя за крупные корейские финансовые учреждения, поэтому жертвы думают, что используют легитимное приложение от надежного поставщика.

Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.

Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 17 лет 256 дней 2 часа 53 минуты 51 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.