“假呼叫”(FakeCall)恶意软件能将拨打给银行的电话转接到攻击者控制的号码上。
研究人员发现了一种复杂的安卓金融诈骗木马的新版本,其显著特点是能够拦截受害者拨打给银行客服人员的电话。
“假呼叫” 于 2022 年首次引起公众关注,当时卡巴斯基安全公司的研究人员报告称,这款恶意应用并非普通的银行木马。除了具备窃取账户凭证的常见功能外,“假呼叫” 还能将语音通话转接到攻击者控制的号码。
策略性演变该恶意软件伪装成谷歌应用商店的网站上提供下载,它还能模拟银行员工的来电。这一新颖功能的目的是让受害者放心,让他们误以为一切正常,通过这种社交工程手段,更有效地诱骗他们泄露账户凭证,因为来电似乎来自真实的人。
当受害者在安装过程中按照指示授予该应用成为安卓设备默认呼叫处理程序的权限时,就有可能发生电话拦截。从那时起,“假呼叫” 就能检测到拨打给银行合法客服号码的电话,并将其转接到攻击者控制的号码。为了更好地隐藏这种伎俩,该木马可以在系统屏幕上显示自己的屏幕。
周三,移动安全公司 Zimperium 的一名研究人员报告称发现了该恶意软件的 13 个新变种。这种本就复杂的木马持续发展,表明其背后的攻击者在不断加大投入。
Zimperium 的恶意软件研究人员费尔南多・奥尔特加(Fernando Ortega)写道:“新发现的这种恶意软件变种经过了大量混淆处理,但仍与早期版本的特征保持一致。” 奥尔特加还说:“这表明出现了策略性演变 —— 部分恶意功能已部分迁移到原生代码中,这使得检测更具挑战性。”
新的混淆处理主要是将恶意代码隐藏在应用程序动态解密和加载的.dex 文件中的结果。因此,Zimperium 最初以为他们正在分析的恶意应用属于一个此前未知的恶意软件家族。然后研究人员从受感染设备的内存中提取了.dex 文件,并对其进行了静态分析。
奥尔特加写道:“随着我们深入研究,一种模式浮现出来。这些服务、接收器和活动与名为 com.secure.assistant 的旧版恶意软件变种非常相似。” 这个包名让研究人员将其与 “假呼叫” 木马联系起来。
新功能情况许多新功能似乎尚未完全实现。除了混淆处理外,其他新功能包括:
蓝牙接收器:该接收器主要作为监听器,监测蓝牙状态及其变化。值得注意的是,源代码中没有立即显示出恶意行为的证据,这让人怀疑它是否是为未来功能预留的占位符。
屏幕接收器:
与蓝牙接收器类似,该组件仅监测屏幕的状态(开 / 关),源代码中也未显示出任何恶意活动。
辅助功能服务:
监测拨号活动:该服务似乎监测来自 com.skt.prod.dialer 包(安卓原生拨号应用)的事件,可能使其能够检测到用户何时试图使用除该恶意软件本身之外的应用拨打电话。
自动授予权限:该服务似乎能够检测到来自 com.google.android.permissioncontroller(系统权限管理器)和 com.android.systemui(系统 UI)的权限提示。在检测到特定事件(如 TYPE_WINDOW_STATE_CHANGED)时,它可以自动授予恶意软件权限,绕过用户同意。远程控制:该恶意软件使远程攻击者能够完全控制受害者设备的用户界面,允许他们模拟用户交互,如点击、手势和在应用间导航。这种能力使攻击者能够精确地操控设备。该恶意软件引入了一项从安卓辅助功能服务继承而来的新服务,使其能够对用户界面进行显著控制,并具备捕获屏幕上显示信息的能力。反编译代码显示诸如 onAccessibilityEvent () 和 onCreate () 等方法是在原生代码中实现的,掩盖了它们具体的恶意意图。虽然提供的代码片段侧重于在原生代码中实现的服务生命周期方法,但早期版本的恶意软件为可能的功能提供了线索:电话监听服务:该服务充当恶意软件与其命令与控制(C2)服务器之间的管道,允许攻击者在受感染设备上发出命令并执行操作。与之前的版本一样,新变种为攻击者提供了一套全面的能力(见下表)。一些功能已迁移到原生代码,而另一些则是新增功能,进一步增强了恶意软件危害设备的能力。2022 年卡巴斯基的报告称,“假呼叫” 仅支持韩语,且该木马似乎针对韩国的几家特定银行。去年,安全公司 ThreatFabric 的研究人员称,该木马已开始支持英语、日语和汉语,尽管没有迹象表明说这些语言的人实际上是其攻击目标。
人们在安装任何移动应用时都应该深思熟虑,特别是安卓设备的应用,多年来安卓设备一直是那些表面承诺一套、背地里却暗藏诸多恶意行为的木马的频繁攻击目标。与金融机构有交互的应用更应受到严格审查。安卓用户还应确保开启谷歌提供的 “Play Protect” 服务,该服务用于扫描设备上的恶意应用,无论这些应用是从谷歌应用商店还是从第三方获取的,就像 “假呼叫” 这种情况一样。
后台