A FakeCall nevű androidos malware új verziója képes eltéríteni a felhasználók bankját célzó kimenő hívásokat, és azokat átirányítani a támadó telefonszámára. Az új verzió célja továbbra is az, mint eddig: ellopni az emberek érzékeny adatait és pénzét a bankszámlájukról. A ’FakeCall’ (más néven ’FakeCalls’) egy banki trójai program, ami voice phishing-re, (vishing) azaz hangalapú adathalászatra specializálódott, aminek lényege, hogy az áldozatokat hamis banki hívásokkal vezetik félre, így nyernek ki tőlük bizalmas információkat.
A malware először 2022 áprilisában került megfigyelésre. Már akkor is képes volt valósághű hívási felület (UI) megjelenítésére, így az áldozatok azt hihették, a bankjukkal beszélnek. A funkciói azóta csak bővültek, továbbá egy 2023 márciusi biztonsági jelentés szerint már több mint 20 pénzintézetet képes megszemélyesíteni. Vishing mellett a FakeCall képes élő audio- és videóadatok rögzítésére és továbbítására, így interakció nélküli adatlopásra is lehetőséget ad.
A korábbi verziókban a támadás megvalósítása úgy zajlott, hogy a program először felszólította a felhasználót a bankja felhívására. Ezután hamis képet mutatott, ami a bank valódi telefonszámát jelezte, a háttérben azonban a beszélgetés a csalókkal zajlott. A legújabb verzióban ehhez képest a rosszindulatú alkalmazás alapértelmezett híváskezelőként állítja be magát, amihez a telepítés során engedélyt kér, bízva a felhasználó figyelmetlenségében. Ezáltal a program engedélyt szerez a kimenő és bejövő hívások elfogadására és manipulására. Különösen veszélyes, mivel a malware megtévesztésig hasonlít az Android igazi híváskezelő felületére, még a felhasználó telefonkönyvébe mentett neveket és telefonszámokat is megjeleníti. Azonban amikor a megfertőzött eszköz kapcsolatfelvételt kísérel meg egy pénzintézettel, akkor a hívást a csalókhoz irányítja át.
A FakeCall jelenleg az Android Accessibility Service-t használja ki, így széleskörű hozzáférést szerez a megfertőzött eszközhöz: nyomon követheti a hívásokat, automatikusan engedélyeket adhat magának felhasználói műveletek emulálásával például érintések, „kattintások” formájában. Ezen felül kapcsolatot teremt a támadó birtokában lévő C2 szerverrel, ami távoli parancsok futtatását teszi lehetővé, például az eszköz geolokációjának meghatározását, alkalmazások törlését, névjegyek szerkesztését, hang vagy videó rögzítését.
A legújabb verzióban új parancsok is megjelentek, mint például:
- A malware konfigurálása alapértelmezett híváskezelőként.
- Az eszköz képernyőtartalmának élő közvetítése.
- Screenshot készítése
- Az eszköz feloldása, ha lezárt és az automatikus lezárás ideiglenes kikapcsolása.
- Az Accessibility Service használata a Home gomb megnyomásának szimulálására.
- A C2 szerver által megadott képek törlése.
- Képek tömörítése és feltöltése az eszköz tárhelyéről, leginkább a DCIM mappát célozva
Ezek az új fejlesztések megerősítik az általános Androidos biztonsági szabályt, miszerint érdemes a nem hivatalos forrásokból szerzett APK-kat elkerülni, csak a Google Play-en elérhető alkalmazásokat telepíteni. Bár a malware így is utat törhet magának a Google áruházába, detektálása esetén a Google Play Protect eltávolíthatja azt.
