Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phiên bản mới của một họ phần mềm độc hại Android được biết đến dưới tên FakeCall, sử dụng kỹ thuật lừa đảo qua giọng nói (vishing) để lừa người dùng tiết lộ thông tin cá nhân.
“FakeCall là một cuộc tấn công Vishing cực kỳ tinh vi, tận dụng phần mềm độc hại để kiểm soát hầu như hoàn toàn thiết bị di động, bao gồm việc chặn các cuộc gọi đến và đi,” nhà nghiên cứu Fernando Ortega từ Zimperium cho biết trong một báo cáo được công bố tuần trước.
“Nạn nhân bị lừa gọi đến các số điện thoại giả do kẻ tấn công kiểm soát, mô phỏng trải nghiệm người dùng bình thường trên thiết bị.”
FakeCall, còn được gọi dưới các tên FakeCalls và Letscall, đã được Kaspersky, Check Point và ThreatFabric phân tích nhiều lần kể từ khi xuất hiện vào tháng 4 năm 2022. Các đợt tấn công trước đây chủ yếu nhắm vào người dùng di động ở Hàn Quốc.
Tên của các gói ứng dụng độc hại chứa phần mềm độc hại, tức là các ứng dụng dropper, được liệt kê dưới đây:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Giống như các họ phần mềm độc hại ngân hàng Android khác, được biết là lợi dụng các API dịch vụ hỗ trợ để kiểm soát thiết bị và thực hiện các hành động độc hại, FakeCall sử dụng chúng để ghi lại thông tin hiển thị trên màn hình và tự cấp thêm quyền khi cần.
Một số tính năng gián điệp khác bao gồm: thu thập một loạt thông tin như tin nhắn SMS, danh sách liên hệ, vị trí, ứng dụng đã cài đặt; chụp ảnh; ghi hình trực tiếp từ cả camera trước và sau; thêm và xóa liên hệ; thu thập các đoạn âm thanh; tải lên hình ảnh và mô phỏng luồng video của tất cả hành động trên thiết bị bằng API MediaProjection.
Phiên bản mới còn được thiết kế để theo dõi trạng thái Bluetooth và màn hình của thiết bị. Đáng lo ngại hơn, phần mềm độc hại yêu cầu người dùng đặt ứng dụng làm trình quay số mặc định, cho phép nó giám sát mọi cuộc gọi đến và đi.
Điều này không chỉ cho phép FakeCall chặn và chiếm quyền điều khiển các cuộc gọi mà còn cho phép nó thay đổi số quay, ví dụ như thay vì gọi đến ngân hàng, nạn nhân lại gọi đến một số giả do kẻ tấn công kiểm soát, khiến họ thực hiện những hành động không mong muốn.
Trái ngược với các biến thể trước đây của FakeCall, các biến thể mới được phát hiện yêu cầu người dùng gọi đến ngân hàng từ trong ứng dụng độc hại, giả dạng các tổ chức tài chính để cung cấp các khoản vay với lãi suất thấp.
“Khi nạn nhân cố gắng liên hệ với tổ chức tài chính của mình, phần mềm độc hại sẽ chuyển cuộc gọi đến một số giả mạo do kẻ tấn công kiểm soát,” Ortega cho biết.
“Ứng dụng độc hại sẽ đánh lừa người dùng, hiển thị một giao diện người dùng giả mạo nhưng thuyết phục, giống với giao diện gọi điện thật của Android và hiển thị số điện thoại của ngân hàng thật. Nạn nhân sẽ không nhận ra sự can thiệp này, vì giao diện giả sẽ bắt chước trải nghiệm ngân hàng thực tế, cho phép kẻ tấn công lấy thông tin nhạy cảm hoặc truy cập trái phép vào tài khoản tài chính của nạn nhân.”
Sự xuất hiện của các chiến lược lừa đảo di động (mishing) phức tạp mới phản ánh phản ứng đối phó với các biện pháp bảo mật được cải thiện và sự phổ biến của các ứng dụng nhận dạng cuộc gọi, có thể cảnh báo người dùng về các số nghi ngờ.
Trong những tháng gần đây, Google cũng đã thử nghiệm sáng kiến bảo mật tự động chặn tải xuống các ứng dụng Android không an toàn tiềm tàng, bao gồm các ứng dụng yêu cầu dịch vụ hỗ trợ, tại Singapore, Thái Lan, Brazil và Ấn Độ.
Nguồn: thehackernews
Đọc thêm:
Đăng ký liền tay Nhận Ngay Bài Mới
Subscribe ngay
Cám ơn bạn đã đăng ký !
Lỗi đăng ký !
Add Comment