Saldırganların gelişmiş ses ve mobil kimlik avı (diğer adıyla dilekler Android kullanıcılarına yönelik saldırılar, daha fazla kötü amaçlı etkinlik gerçekleştirmek için ele geçirilen cihazlar üzerindeki kontrollerini genişleten yeni yeteneklerle birlikte gelişti.
FakeCall, tarafından takip edilen bir kötü amaçlı yazılım çeşitli araştırma grupları En az 2022’den bu yana, kurbanları saldırgan tarafından kontrol edilen sahte telefon numaralarını aramaları için kandırarak ve ardından kullanıcıyı bir şekilde dolandırmayı amaçlayan banka çalışanları veya diğer kuruluşlarla yapılan tipik bir konuşmayı taklit ederek saldırıları gerçekleştiriyor.
FakeCall’ın yeteneği, tarihsel olarak, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusuyla iletişim kurarak son kullanıcıyı aldatmayı amaçlayan bir dizi eylemi gerçekleştirmesine olanak tanıyan tasarımında yatmaktadır. Saldırganların bir kişinin telefon görüşmelerini kontrol etmesine izin vermenin yanı sıra, diğer kötü amaçlı faaliyetler için Android cihazlara yönelik çeşitli izinlere de erişmelerine olanak tanır.
Zimperium zLabs’taki araştırmacılar artık keşfettim Bugün yayınlanan bir blog yazısında, saldırganlara insanların cihaz faaliyetlerini izleme ve cihazı daha hassas bir şekilde kontrol etme konusunda daha fazla yetenek kazandıran, bazıları geliştirilme aşamasında görünen yeni yetenekler ekleyen FakeCall’ın yeni bir çeşidinin ortaya çıktığı ortaya çıktı.
Araştırmacılar, bu varyantın, saldırganların Android cihazlarla daha sorunsuz bir entegrasyon oluşturmak için yeni ve stratejik yollar bulduğunu gösteriyor; bu, kötü amaçlı yazılımın algılanmaktan kaçınmasına ve bir kullanıcının cihazında onlar haberi olmadan aktif kalmasına yardımcı olabiliyor.
FakeCall’ın Kötü Amaçlı Yeteneklerini Genişletme
Gönderiye göre özellikle özelliklerden biri, kötü amaçlı yazılımın Android’in Erişilebilirlik Hizmeti ile entegre olmasına izin vererek saldırganlara “kullanıcı arayüzü üzerinde önemli bir kontrol ve ekranda görüntülenen bilgileri yakalama yeteneği” sağlıyor.
Sectigo’nun kıdemli araştırmacısı Jason Soroko, bu özelliğin, saldırganların basit cihaz izinlerini aşarak daha karmaşık bir saldırı vektörünü kötüye kullanmak için nasıl evrim geçirebileceğini gösterdiğini ve “saldırganlara çağrıları engellemek, hassas verilere erişmek ve kullanıcı arayüzünü değiştirmek için neredeyse tam kontrol sağladığını” belirtiyor. Sertifika yaşam döngüsü yönetimi (CLM) sağlayıcısı.
Saldırganlar, meşru arayüzleri sorunsuz bir şekilde taklit ederek kullanıcılar tarafından tespit edilmeyi “neredeyse imkansız” hale getiriyor ve bu tehdidi tespit edebilecek gelişmiş güvenlik çözümlerine olan kritik ihtiyacın altını çiziyor.
Diğer yeni özellikler, FakeCall’ın ilk keşfedildiğinden bu yana var olan kalıcı casus yazılım yeteneklerini genişletiyor ve onu genellikle tek seferlik bir saldırı olan diğer vishing ve mishing saldırılarından ayırıyor. Bunlardan biri Bluetooth durumunu ve değişikliklerini izlemek için dinleyici görevi gören bir Bluetooth alıcısı iken diğeri benzer ancak cihazın ekranının durumunu izlemek için ekran alıcısı görevi görüyor.
FakeCall Saldırısı Nasıl Çalışır?
Sahte Arama (önceki değeri) ilk detaylı Kaspersky’deki araştırmacılar tarafından Nisan 2022’de, kullanıcıların bankalarıyla yaptıkları aramaları engelleme ve kötü amaçlı amaçlarla sahte bir müşteri hizmetleri deneyimi oluşturma konusunda genişletilmiş kapasiteye sahip bir bankacılık Truva Atı olarak tanımlandı.
Kötü amaçlı yazılımın ayrıca, bir cihazın mikrofonunu açıp kayıtları saldırganın C2 sunucusuna gönderme özelliği de dahil olmak üzere bazı casus yazılım yetenekleri de vardı; telefondan gerçek zamanlı olarak gizlice ses ve video yayınlama yeteneği; ve cihazın konumunu belirleme seçeneği.
Tipik bir FakeCall saldırısı, kurbanların, FakeCall için bir damlalık görevi gören bir kimlik avı saldırısı yoluyla kötü amaçlı bir APK dosyasını (meşru bir uygulama gibi görünen) bir Android mobil cihazına indirmesiyle başlar. Uygulama başlatıldığında kullanıcıdan kendisini varsayılan çağrı işleyici olarak ayarlamasını ister ve belirlendikten sonra saldırganlar tüm gelen ve giden çağrıları yönetebilir. Kötü amaçlı yazılım daha sonra yerel Android çeviriciyi taklit eden ve kötü amaçlı işlevlerini sorunsuz bir şekilde entegre eden özel bir arayüz görüntüler.
FakeCall’ın birincil işlevi giden aramaları izlemek ve bir C2 sunucusu aracılığıyla saldırganlara bilgi aktarmak olsa da, siber saldırganlar kötü amaçlı yazılımı kullanarak başka kötü amaçlı faaliyetler de gerçekleştirebilirler. Bunlar arasında, FakeCall’ın varsayılan çağrı işleyicisi konumundan yararlanılarak yapılabilecek kimlik sahtekarlığı da yer alıyor. Kötü amaçlı yazılım, aranan numarayı değiştirerek kötü amaçlı bir numarayla değiştirebilir ve böylece kullanıcıları sahte aramalar yapmaya aldatabilir.
Saldırganlar FakeCall’ı da kullanabilir ortadaki rakip (AitM) Diğer mobil cihaz kullanıcılarıyla yetkisiz bağlantılar kurmak için gelen ve giden aramaları ele geçirme yaklaşımı. Gönderiye göre “Bu durumda kullanıcılar, uygulamayı kaldırana veya cihazlarını yeniden başlatana kadar durumun farkında olmayabilir.”
FakeCall Saldırılarına Karşı Savunma
Gibi dilekler ve mishing saldırıları, kullanıcıları dolandıran dünya çapında bir salgın haline geldi. milyonlarca dolar yıllık olarak — en çok olanlar dahil teknolojiye meraklı bireyler Uzmanlar, insanların kendilerini bu saldırıların karmaşık versiyonlarına karşı korumayı öğrenmelerinin zorunlu olduğunu söylüyor.
Soroko, bunu yapmanın bir yolunun, indirilen veya cihazlara kullanılan tüm Android uygulamalarını dikkatle incelemek ve uygulamaları yalnızca güvenilir uygulama mağazalarından satın almak olduğunu söylüyor.
Günümüzde mobil iş yapmanın birincil aracı olduğu göz önüne alındığında, FakeCall işletmeler için özellikle tehlikelidir. İnsan risk yönetimi platformu Hoxhunt’un kurucu ortağı ve CEO’su Mika Aalto, bunun, cihazın riske atılmasını potansiyel olarak “felaket” haline getirdiğini belirtiyor.
Aalto, bu senaryoyu önlemek için şirketlerin yapabileceği en önemli şeyin “üst düzey yönetim ve çalışanları, mobil kimlik avı saldırısını tanıyacak ve güvenli bir şekilde raporlayacak beceri ve araçlarla donatmak” olduğunu söylüyor.