Найти в Дзене
Уловка-32
3094 подписчика

Эволюция фишинга: Вы сами позвоните мошенникам, думая что набираете телефон банка

30
3 мин
Вредоносное ПО для Android перехватывает звонки в службу поддержки клиентов банка. Банковский троянец для Android, который исследователи называют Fakecalls, уникален тем, что может перехватить звонок в службу поддержки банка и перенаправить его на злоумышленников, управляющих вредоносным ПО. Как это работает? Замаскированный под мобильное приложение от популярного банка, Fakecalls отображает все визуальные приметы финансовой организации, за которую он себя выдает себя, включая официальный логотип и номер службы поддержки клиентов банка. Когда жертва пытается позвонить в банк, вредоносная программа разрывает соединение и выводит на экран жертвы информацию о звонке, практически не отличимую от настоящей. Звонящий видит настоящий номер банка на экране, однако вредоносное ПО перенаправляет жертву на киберпреступников, которые выдавая себя за представителей службы поддержки клиентов банка, смогут узнать персональную финансовую информацию. Мобильный банковский троянец Fakecalls в момент уст
Оглавление
Новый вид телефонного фишинга. Вы сами позвоните мошенникам, думая, что набираете телефон службы поддержки банка / www.itkarakuli.ru
Новый вид телефонного фишинга. Вы сами позвоните мошенникам, думая, что набираете телефон службы поддержки банка / www.itkarakuli.ru

Вредоносное ПО для Android перехватывает звонки в службу поддержки клиентов банка.

Банковский троянец для Android, который исследователи называют Fakecalls, уникален тем, что может перехватить звонок в службу поддержки банка и перенаправить его на злоумышленников, управляющих вредоносным ПО.

Как это работает?

Замаскированный под мобильное приложение от популярного банка, Fakecalls отображает все визуальные приметы финансовой организации, за которую он себя выдает себя, включая официальный логотип и номер службы поддержки клиентов банка.

Когда жертва пытается позвонить в банк, вредоносная программа разрывает соединение и выводит на экран жертвы информацию о звонке, практически не отличимую от настоящей.

Интерфейс звонков вредоносной программы для мобильного банкинга Fakecalls (Источник: Kaspersky)
Интерфейс звонков вредоносной программы для мобильного банкинга Fakecalls (Источник: Kaspersky)

Звонящий видит настоящий номер банка на экране, однако вредоносное ПО перенаправляет жертву на киберпреступников, которые выдавая себя за представителей службы поддержки клиентов банка, смогут узнать персональную финансовую информацию.

Мобильный банковский троянец Fakecalls в момент установки запрашивает несколько разрешений, которые дают ему доступ к списку контактов, микрофону, камере, геолокации и обработке вызовов.

Как выяснили исследователи из бюро Kaspersky, вредоносное ПО появилось в прошлом году и было нацелено на пользователей в Южной Корее, клиентов популярных банков, таких как KakaoBank или Kookmin Bank (KB).

Троянец Fakecalls был активен в течение небольшого времен и, из-за своей географически ограниченной целевой аудитории, не смог "поразить" большое количество устройств. Однако специалисты в области кибербезопасности отмечают серьезную озабоченность. Функция поддельных вызовов с перехватом звонка и перенаправлением его оператору вредоносного ПО - знаменует собой новый шаг в развитии угроз мобильного банкинга.

Прямая связь с злоумышленником

Специалисты из бюро Касперский проанализировали вредоносное ПО и обнаружили, что оно также может воспроизводить предварительно записанное сообщение, которое имитирует те, которые обычно используются банками для приветствия клиентов, позвонившим в поддержку:

Код в Fakecalls для воспроизведения предварительно записанного аудио (Источник: Kaspersky)
Код в Fakecalls для воспроизведения предварительно записанного аудио (Источник: Kaspersky)

Разработчики вредоносных программ записали несколько фраз, которые обычно используются банками, чтобы сообщить клиенту, что оператор примет их звонок, как только они станут доступными.

Ниже приведены два примера предварительно записанного аудио (на корейском языке), которое Fakecalls воспроизводит жертве, чтобы сделать подмену более реалистичной:

Привет. Благодарим Вас за звонок в KakaoBank. Наш колл-центр в настоящее время принимает необычно большой объем звонков. Консультант поговорит с вами как можно скорее. <... > Чтобы улучшить качество сервиса, ваш разговор будет записан.

Добро пожаловать в Кукмин Банк. Ваш разговор будет записан. Теперь мы свяжем вас с оператором.

Исследователи Касперского говорят, что вредоносное ПО содержит и стандартную функцию - поддельный входящий звонок - позволяя киберпреступникам связываться с жертвами, как если бы они были службой поддержки клиентов банка.

Полный шпионский комплект

Разрешения, которые вредоносное ПО запрашивает при установке, позволяют злоумышленникам шпионить за жертвой, транслируя в режиме реального времени аудио и видео с устройства, видеть его местоположение, копировать файлы (контакты, файлы, такие как фотографии и видео) и историю текстовых сообщений.

"Эти разрешения позволяют вредоносному ПО не только шпионить за пользователем, но и в определенной степени контролировать его устройство, предоставляя троянцу возможность сбрасывать входящие вызовы и удалять их из истории. Это позволяет мошенникам, помимо прочего, блокировать и скрывать реальные звонки из банков"
- Касперский

В настоящий момент Fakecalls поддерживает только корейский язык, однако что-то подсказывает - злоумышленники не остановятся и продолжат разработку вредоносного ПО .

Kaspersky рекомендует, чтобы не стать жертвой таких вредоносных программ, исключите загрузку приложений вне официальных магазинов и обращайте внимания на разрешения, которые запрашивает приложение (доступ к звонкам, текстам, специальные возможности), особенно если приложение в них не нуждается.

Вам позвонили из банка. Что делать?
IT Каракули9 апреля 2022

Кроме того, исследователи советуют пользователям не делиться конфиденциальной информацией по телефону (учетные данные для входа, PIN-код, код безопасности карты, коды подтверждения).