Οι ερευνητές έχουν βρει νέες εκδόσεις ενός εξελιγμένου Android Trojan για οικονομικές απάτες, το οποίο είναι ξεχωριστό για την ικανότητά του να υποκλέπτει κλήσεις που προσπαθεί να πραγματοποιήσει ένα θύμα προς το προσωπικό υποστήριξης πελατών των τραπεζών του.
Το FakeCall ήρθε για πρώτη φορά στο φως της δημοσιότητας το 2022, όταν ερευνητές της Kaspersky ανέφεραν ότι η κακόβουλη εφαρμογή δεν ήταν ένα συνηθισμένο τραπεζικό Trojan. Εκτός από τις συνήθεις δυνατότητες για την κλοπή διαπιστευτηρίων λογαριασμού, το FakeCall μπορούσε να ανακατευθύνει τις φωνητικές κλήσεις σε αριθμούς που ελέγχονταν από τους επιτιθέμενους.
Το κακόβουλο λογισμικό, το οποίο ήταν διαθέσιμο σε ιστοσελίδες που μεταμφιέζονται ως Google Play, μπορούσε επίσης να προσομοιώνει εισερχόμενες κλήσεις από υπαλλήλους τραπεζών. Η πρόθεση του νέου χαρακτηριστικού ήταν να παρέχει διαβεβαιώσεις στα θύματα ότι τίποτα δεν συμβαίνει και να τα ξεγελάσει αποτελεσματικότερα ώστε να αποκαλύψουν τα διαπιστευτήρια του λογαριασμού τους, βάζοντας την κοινωνική μηχανική να προέρχεται από έναν πραγματικό άνθρωπο.
Η υποκλοπή ήταν δυνατή όταν τα θύματα ακολούθησαν τις οδηγίες κατά την εγκατάσταση για να δώσουν την άδεια στην εφαρμογή να γίνει ο προεπιλεγμένος χειριστής κλήσεων στη συσκευή Android. Από εκεί και πέρα, το FakeCall μπορούσε να ανιχνεύει κλήσεις προς τον νόμιμο αριθμό υποστήριξης πελατών μιας τράπεζας και να τις ανακατευθύνει σε έναν αριθμό που ελέγχεται από τον επιτιθέμενο. Για να κρύψει καλύτερα το κόλπο, το Trojan μπορεί να εμφανίσει τη δική του οθόνη πάνω από εκείνη του συστήματος.
Ένας ερευνητής της εταιρείας ασφάλειας Zimperium ανέφερε ότι βρήκε 13 νέες παραλλαγές του κακόβουλου λογισμικού. Η συνεχής ανάπτυξη του ήδη εξελιγμένου Trojan δείχνει ότι οι επιτιθέμενοι πίσω από αυτό συνεχίζουν να αυξάνουν τις επενδύσεις τους σε αυτό.
«Οι πρόσφατα ανακαλυφθείσες παραλλαγές αυτού του κακόβουλου λογισμικού είναι σε μεγάλο βαθμό συγκεκαλυμμένες, αλλά παραμένουν συνεπείς με τα χαρακτηριστικά των προηγούμενων εκδόσεων», έγραψε ο ερευνητής κακόβουλου λογισμικού της Zimperium, Fernando Ortega. «Αυτό υποδηλώνει μια στρατηγική εξέλιξη, καθώς ορισμένες κακόβουλες λειτουργίες είχαν μεταφερθεί εν μέρει σε native κώδικα, καθιστώντας την ανίχνευση πιο δύσκολη».
Μεγάλο μέρος της νέας συγκάλυψης είναι αποτέλεσμα της απόκρυψης κακόβουλου κώδικα σε ένα δυναμικά αποκρυπτογραφημένο και φορτωμένο αρχείο .dex των εφαρμογών. Ως αποτέλεσμα, η Zimperium πίστευε αρχικά ότι οι κακόβουλες εφαρμογές που ανέλυε ανήκαν σε μια άγνωστη προηγουμένως οικογένεια κακόβουλου λογισμικού. Στη συνέχεια, οι ερευνητές ανέσυραν το αρχείο .dex από τη μνήμη μιας μολυσμένης συσκευής και πραγματοποίησαν στατική ανάλυση σε αυτό.
«Καθώς εμβαθύναμε περισσότερο, προέκυψε ένα μοτίβο», έγραψε ο Ortega. «Οι υπηρεσίες, οι παραλήπτες και οι δραστηριότητες έμοιαζαν πολύ με εκείνες μιας παλαιότερης παραλλαγής κακόβουλου λογισμικού με το όνομα του πακέτου com.secure.assistant». Αυτό το πακέτο επέτρεψε στους ερευνητές να το συνδέσουν με το Trojan FakeCall.
Πολλά από τα νέα χαρακτηριστικά δεν φαίνεται να έχουν υλοποιηθεί πλήρως ακόμα. Εκτός από τη συγκάλυψη, άλλες νέες δυνατότητες περιλαμβάνουν:
Δέκτης Bluetooth
Αυτός ο δέκτης λειτουργεί κυρίως ως ακροατής, παρακολουθώντας την κατάσταση και τις αλλαγές του Bluetooth. Αξίζει να σημειωθεί ότι δεν υπάρχουν άμεσες ενδείξεις κακόβουλης συμπεριφοράς στον πηγαίο κώδικα, γεγονός που εγείρει ερωτήματα σχετικά με το αν χρησιμεύει ως τοποθέτης για μελλοντική λειτουργικότητα.
Δέκτης οθόνης
Παρόμοια με τον δέκτη Bluetooth, αυτό το στοιχείο παρακολουθεί μόνο την κατάσταση της οθόνης (ενεργοποίηση/απενεργοποίηση), χωρίς να αποκαλύπτει κακόβουλη δραστηριότητα στον πηγαίο κώδικα.
Υπηρεσία προσβασιμότητας
Το κακόβουλο λογισμικό ενσωματώνει μια νέα υπηρεσία που κληρονομήθηκε από την υπηρεσία προσβασιμότητας του Android, παρέχοντάς του σημαντικό έλεγχο στη διεπαφή χρήστη και τη δυνατότητα να καταγράφει πληροφορίες που εμφανίζονται στην οθόνη. Ο αποσυμπιεσμένος κώδικας δείχνει μεθόδους όπως οι onAccessibilityEvent() και onCreate() που υλοποιούνται σε εγγενή κώδικα, αποκρύπτοντας την ειδική κακόβουλη πρόθεσή τους.
Αν και το παρεχόμενο απόσπασμα κώδικα επικεντρώνεται στις μεθόδους του κύκλου ζωής της υπηρεσίας που υλοποιούνται σε εγγενή κώδικα, προηγούμενες εκδόσεις του κακόβουλου λογισμικού μας δίνουν ενδείξεις για πιθανή λειτουργικότητα:
- Παρακολούθηση της δραστηριότητας του Dialer: Η υπηρεσία φαίνεται να παρακολουθεί συμβάντα από το πακέτο com.skt.prod.dialer (η εφαρμογή dialer του αρχείου), επιτρέποντάς της ενδεχομένως να ανιχνεύει πότε ο χρήστης προσπαθεί να πραγματοποιήσει κλήσεις χρησιμοποιώντας εφαρμογές άλλες από το ίδιο το κακόβουλο λογισμικό.
- Αυτόματη χορήγηση αδειών: Η υπηρεσία φαίνεται ικανή να ανιχνεύει προτροπές αδειών από το com.google.android.permissioncontroller (διαχειριστής δικαιωμάτων συστήματος) και το com.android.systemui (περιβάλλον εργασίας συστήματος). Κατά την ανίχνευση συγκεκριμένων συμβάντων (π.χ. TYPE_WINDOW_STATE_CHANGED), μπορεί να χορηγεί αυτόματα δικαιώματα για το κακόβουλο λογισμικό, παρακάμπτοντας τη συγκατάθεση του χρήστη.
- Απομακρυσμένος έλεγχος: Το κακόβουλο λογισμικό επιτρέπει στους απομακρυσμένους επιτιθέμενους να αναλάβουν τον πλήρη έλεγχο του περιβάλλοντος χρήσης της συσκευής του θύματος, επιτρέποντάς τους να προσομοιώνουν αλληλεπιδράσεις του χρήστη, όπως κλικ, χειρονομίες και πλοήγηση σε διάφορες εφαρμογές. Αυτή η δυνατότητα επιτρέπει στον επιτιθέμενο να χειρίζεται τη συσκευή με ακρίβεια.
Υπηρεσία ακρόασης τηλεφώνου
Αυτή η υπηρεσία λειτουργεί ως αγωγός μεταξύ του κακόβουλου λογισμικού και του server εντολών και ελέγχου (C2), επιτρέποντας στον επιτιθέμενο να εκδίδει εντολές και να εκτελεί ενέργειες στη μολυσμένη συσκευή. Όπως και ο προκάτοχός του, η νέα παραλλαγή παρέχει στους επιτιθέμενους ένα ολοκληρωμένο σύνολο δυνατοτήτων. Ορισμένες λειτουργίες έχουν μεταφερθεί σε εγγενή κώδικα, ενώ άλλες αποτελούν νέες προσθήκες, ενισχύοντας περαιτέρω την ικανότητα του κακόβουλου λογισμικού να θέτει σε κίνδυνο συσκευές.
Η δημοσίευση της Kaspersky από το 2022 ανέφερε ότι η μόνη γλώσσα που υποστηρίζεται από το FakeCall είναι τα Κορεάτικα και ότι το Trojan φαίνεται να στοχεύει αρκετές συγκεκριμένες τράπεζες στη Νότια Κορέα. Πέρυσι, ερευνητές από την εταιρεία ασφαλείας ThreatFabric δήλωσαν ότι το Trojan είχε αρχίσει να υποστηρίζει Αγγλικά, Ιαπωνικά και Κινέζικα, αν και δεν υπήρχαν ενδείξεις ότι οι άνθρωποι που μιλούσαν αυτές τις γλώσσες αποτελούσαν πραγματικά στόχο.
Οι άνθρωποι θα πρέπει να σκέφτονται πολύ καλά την εγκατάσταση οποιασδήποτε εφαρμογής για κινητά, ιδιαίτερα για συσκευές Android, οι οποίες με την πάροδο των ετών έχουν αποτελέσει συχνό στόχο Trojans που υπόσχονται ένα πράγμα και παραδίδουν κάτω από το κάλυμμα ένα πλήθος κακόβουλων άλλων. Οι εφαρμογές που διασυνδέονται με χρηματοπιστωτικά ιδρύματα αξίζουν ακόμη μεγαλύτερη προσοχή. Οι χρήστες Android θα πρέπει επίσης να φροντίσουν να ενεργοποιήσουν το Play Protect, μια υπηρεσία που παρέχει η Google για τον έλεγχο των συσκευών για κακόβουλες εφαρμογές, είτε αυτές οι εφαρμογές αποκτήθηκαν από το Play είτε από τρίτους, όπως συμβαίνει με το FakeCall.
[via]