Ένα Android banking trojan, που οι ερευνητές αποκαλούν Fakecalls, παραβιάζει τις κλήσεις των θυμάτων προς την υπηρεσία υποστήριξης πελατών τραπεζών και συνδέει τα θύματα απευθείας με τους κυβερνοεγκληματίες που διαχειρίζονται το κακόβουλο λογισμικό.
Το banking trojan εμφανίζεται σαν μια νόμιμη εφαρμογή για κινητά που ανήκει σε μια δημοφιλή τράπεζα και διαθέτει όλα τα στοιχεία της τράπεζας που υποδύεται: επίσημο λογότυπο, αριθμό υποστήριξης πελατών κλπ.
Δείτε επίσης: Το “Escobar” banking trojan κλέβει κωδικούς MFA του Google Authenticator
Όταν το θύμα προσπαθεί να καλέσει την υπηρεσία εξυπηρέτησης πελατών της τράπεζας, το Fakecalls διακόπτει τη σύνδεση και εμφανίζει την οθόνη κλήσης, η οποία σχεδόν δεν ξεχωρίζει από την πραγματική. Το θύμα βλέπει τον πραγματικό αριθμό της τράπεζας στην οθόνη, όμως η σύνδεση γίνεται με τους κυβερνοεγκληματίες. Οι απατεώνες παρουσιάζονται ως εκπρόσωποι υποστήριξης πελατών της τράπεζας και μπορούν να αποκτήσουν στοιχεία που θα τους έδιναν πρόσβαση στα χρήματα του θύματος.
Το Fakecalls mobile banking trojan μπορεί να το κάνει αυτό επειδή τη στιγμή της εγκατάστασης ζητά πολλά δικαιώματα που του δίνουν πρόσβαση στη λίστα επαφών, στο μικρόφωνο, στην κάμερα, στη γεωγραφική τοποθεσία και στη διαχείριση κλήσεων.
Σύμφωνα με μια έκθεση της Kaspersky, το κακόβουλο λογισμικό εμφανίστηκε πέρυσι και στοχεύει κυρίως χρήστες στη Νότια Κορέα που είναι πελάτες δημοφιλών τραπεζών όπως η KakaoBank ή η Kookmin Bank (KB).
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
Fakecalls banking trojan: Απευθείας σύνδεση με τους εγκληματίες
Η Kaspersky ανέλυσε το κακόβουλο λογισμικό και είδε πώς λειτουργεί. Οι ερευνητές παρατήρησαν, επίσης, ότι το malware μπορεί να αναπαράγει ένα προηχογραφημένο μήνυμα που μιμείται αυτά που χρησιμοποιούνται συνήθως από τις τράπεζες για να καλωσορίσουν πελάτες που αναζητούν υποστήριξη.
Ακολουθούν δύο παραδείγματα του προηχογραφημένου μηνύματος (στα Κορεάτικα):
“Γεια σας. Σας ευχαριστούμε που καλέσατε την KakaoBank. Το τηλεφωνικό μας κέντρο δέχεται αυτήν τη στιγμή έναν ασυνήθιστα μεγάλο όγκο κλήσεων. Ένας σύμβουλος θα σας μιλήσει το συντομότερο δυνατό. <…> Για να βελτιωθεί η ποιότητα της υπηρεσίας, η συνομιλία σας θα καταγραφεί”.
“Καλώς ήρθατε στην Kookmin Bank. Η συνομιλία σας θα ηχογραφηθεί. Τώρα θα σας συνδέσουμε με έναν σύμβουλο”.
Fakecalls banking trojan: Πλήρης κατασκοπεία του θύματος
Η αλήθεια είναι ότι οι χρήστες μπορούν να καταλάβουν ότι κάτι δεν πάει καλά, αν είναι προσεκτικοί κατά τη λήψη της κακόβουλης εφαρμογής Fakecalls. Οι άδειες που ζητά κατά την εγκατάσταση είναι πολλές και ουσιαστικά επιτρέπουν στους εγκληματίες να κατασκοπεύουν το θύμα μεταδίδοντας ήχο και βίντεο σε πραγματικό χρόνο από τη συσκευή, να βλέπουν την τοποθεσία της, να αντιγράφουν αρχεία (επαφές, αρχεία όπως φωτογραφίες και βίντεο) και το ιστορικό μηνυμάτων κειμένου.
“Αυτές οι άδειες επιτρέπουν στο κακόβουλο λογισμικό όχι μόνο να κατασκοπεύει τον χρήστη αλλά να ελέγχει τη συσκευή του σε κάποιο βαθμό, δίνοντας στο Trojan τη δυνατότητα να απορρίπτει τις εισερχόμενες κλήσεις και να τις διαγράφει από το ιστορικό. Αυτό επιτρέπει στους απατεώνες, μεταξύ άλλων, να μπλοκάρουν και να αποκρύπτουν πραγματικές κλήσεις από τράπεζες”, αναφέρει η Kaspersky στην έκθεσή της.
Προς το παρόν, το Fakecalls malware έχει παρατηρηθεί ότι υποστηρίζει μόνο την κορεατική γλώσσα. Όμως, οι επιτιθέμενοι θα μπορούσαν εύκολα να προσθέσουν περισσότερες γλώσσες για να επεκταθούν και σε άλλες περιοχές.
Η Kaspersky προτείνει μερικές συμβουλές προστασίας, που μεταξύ άλλων περιλαμβάνουν τη λήψη εφαρμογών μόνο από επίσημα καταστήματα και την προσοχή στα δυνητικά επικίνδυνα δικαιώματα που ζητά μια εφαρμογή (πρόσβαση σε κλήσεις, μηνύματα, προσβασιμότητα), ειδικά εάν δεν τα χρειάζεται. Επιπλέον, οι ερευνητές συμβουλεύουν τους χρήστες να μην μοιράζονται εμπιστευτικές πληροφορίες μέσω τηλεφώνου (credentials σύνδεσης, PIN, κωδικός ασφαλείας κάρτας, κωδικοί επιβεβαίωσης) και να χρησιμοποιούν λογισμικά προστασίας από ιούς και malware.
Πηγή: www.bleepingcomputer.com