Araştırmacıların Fakecalls adını verdiği Android için bir bankacılık truva atı, bir bankanın müşteri destek numarasına yapılan aramaları devralmasına ve kurbanı doğrudan kötü amaçlı yazılımı çalıştıran siber suçlulara bağlamasına olanak tanıyan güçlü bir yeteneğe sahiptir.
Popüler bir bankanın mobil uygulaması kılığına giren Fakecalls, resmi logosu ve müşteri destek numarası da dahil olmak üzere kimliğine büründüğü varlığın tüm işaretlerini görüntüler.
Kurban bankayı aramaya çalıştığında, kötü amaçlı yazılım bağlantıyı keser ve gerçek olandan neredeyse ayırt edilemeyen çağrı ekranını gösterir.
Mağdur ekranda bankanın gerçek numarasını görürken, bağlantı, bankanın müşteri destek temsilcisi gibi davranabilen ve kurbanın fonlarına erişmelerini sağlayacak ayrıntıları elde edebilen siber suçlularla bağlantılıdır.
Fakecalls mobil bankacılık truva atı bunu yapabilir çünkü kurulum anında kişi listesine, mikrofona, kameraya, coğrafi konum belirleme ve çağrı yönetimine erişim sağlayan birkaç izin ister.
Kötü amaçlı yazılım geçen yıl ortaya çıktı ve Güney Kore’deki kullanıcıları, KakaoBank veya Kookmin Bank (KB) gibi popüler bankaların müşterilerini, Kaspersky’deki güvenlik araştırmacılarını hedef alırken görüldü. rapor bugün.
Bir süredir etkin olmasına rağmen, kötü amaçlı yazılım, mobil bankacılık tehditlerinin geliştirilmesinde yeni bir adımı işaret eden sahte arama özelliğine rağmen, muhtemelen sınırlı hedef coğrafyası nedeniyle çok az ilgi gördü.
Tehdit aktörüne doğrudan hat
Kaspersky kötü amaçlı yazılımı analiz etti ve ayrıca, bankaların destek arayan müşterileri selamlamak için kullandıkları mesajları taklit eden önceden kaydedilmiş bir mesajı da oynatabildiğini buldu:
Kötü amaçlı yazılım geliştiricileri, müşteriye, bir operatörün uygun olduğunda çağrıyı yanıtlayacağını bildirmek için bankalar tarafından yaygın olarak kullanılan birkaç ifade kaydetti.
Aşağıda, hileyi daha gerçekçi kılmak için Fakecalls kötü amaçlı yazılımının çaldığı önceden kaydedilmiş sese (Korece) iki örnek verilmiştir:
Merhaba. KakaoBank’ı aradığınız için teşekkür ederiz. Çağrı merkezimiz şu anda alışılmadık derecede yüksek miktarda çağrı alıyor. En kısa sürede bir danışman sizinle konuşacaktır. <...> Hizmetin kalitesini artırmak için görüşmeniz kaydedilecektir.
Kookmin Bank’a hoş geldiniz. Görüşmeniz kaydedilecektir. Şimdi sizi bir operatöre bağlayacağız.
Kaspersky araştırmacıları, kötü amaçlı yazılımın gelen aramaları yanıltarak siber suçluların kurbanlarla bankanın müşteri destek hizmetiymiş gibi iletişim kurmasına olanak tanıdığını söylüyor.
Komple casusluk kiti
Kötü amaçlı yazılımın kurulum sırasında talep ettiği izinler, siber suçluların cihazdan gerçek zamanlı ses ve video yayınlayarak kurbanı gözetlemelerine, konumunu görmelerine, dosyaları (kişiler, fotoğraflar ve videolar gibi dosyalar) ve kısa mesaj geçmişini kopyalamalarına olanak tanır.
“Bu izinler, kötü amaçlı yazılımın yalnızca kullanıcıyı gözetlemesine değil, aynı zamanda cihazını belirli bir dereceye kadar kontrol etmesine izin vererek, Truva Atı’na gelen aramaları bırakma ve bunları geçmişten silme yeteneği verir. Bu, dolandırıcıların diğer şeylerin yanı sıra bankalardan gelen gerçek aramaları engellemesine ve gizlemesine olanak tanır” – Kaspersky
Fakecalls’ın yalnızca Korece’yi desteklediği gözlemlenirken, bu da virüslü cihazın farklı bir sistem diliyle çalışıp çalışmadığını tespit etmeyi kolaylaştırırken, arkasındaki tehdit aktörü diğer bölgelere yayılmak için daha fazlasını ekleyebilir.
Kaspersky’nin bu tür kötü amaçlı yazılımların kurbanı olmaktan kaçınmak için önerileri arasında yalnızca resmi mağazalardan uygulama indirme ve bir uygulamanın istediği potansiyel olarak tehlikeli izinlere (çağrılara erişim, mesajlara erişim, erişilebilirlik) dikkat etmek yer alıyor, özellikle de uygulamanın bunlara ihtiyacı yoksa.
Ayrıca araştırmacılar, kullanıcılara gizli bilgileri (giriş bilgileri, PIN, kart güvenlik kodu, onay kodları) telefon üzerinden paylaşmamalarını tavsiye ediyor.