Android için sahte yazılımların yeni bir sürümü, bir kullanıcıdan bankalarına giden çağrıları kaçırır ve bunun yerine saldırganın telefon numarasına yönlendirir.
En son sürümün amacı, insanların hassas bilgilerini ve parasını banka hesaplarından çalmaktır.
Sahneall (veya sahtekarlar), kurbanların bankaları taklit eden hileli çağrılarla aldatıldığı ve hassas bilgileri aktarmalarını istedikleri ses kimlik avına odaklanan bir bankacılık Truva atıdır.
Kaspersky ilk olarak Truva atını Nisan 2022'de, kurbanları bankalarıyla bir çağrıda bulunduklarına inanmak için kandırmak için gerçekçi görünen çağrı arayüzleri sundu.
Checkpoint tarafından yapılan bir Mart 2023 raporu, FakeCall'ın şu anda 20'den fazla finansal kuruluşu taklit ettiği, hedeflere düşük faizli krediler sunduğunu ve algılama oranlarını düşürmek için yeni kaçırma mekanizmaları sunduğu konusunda uyardı.
Vishing'e (sesli kimlik avı) ek olarak, Fakecall enfekte olmuş cihazlardan canlı ses ve video akışlarını da yakalayabilir ve saldırganların kurban etkileşimi olmadan hassas verileri çalmasına izin verebilir.
Önceki sürümlerde, Fakecall kullanıcıları bir uygulama içinden bankayı aramaya teşvik ederek Finans Enstitüsü'nü taklit etti. Daha sonra, kurban dolandırıcılarla bağlantılıken bankanın gerçek numarasını gösteren sahte bir ekran kaplandı.
Zimperium tarafından analiz edilen en son sürümde, kötü amaçlı uygulama kendini varsayılan çağrı işleyicisi olarak ayarlar ve kullanıcıdan bir Android APK aracılığıyla uygulamayı yükledikten sonra bu eylemi onaylamasını ister.
Android'deki çağrı işleyici, aslında arama, bağlama ve son çağrıları işleyen ana arayüz olarak hizmet ederek gelen ve giden çağrıları yönetir.
Kötü amaçlı yazılım, kullanıcıyı varsayılan çağrı işleyici olarak ayarlamasını istediğinde, hem giden hem de gelen çağrıları kesme ve manipüle etme izni alır.
Sahte bir çağrı arayüzü, gerçek Android çeviriciyi taklit eder, güvenilir iletişim bilgilerini ve adlarını gösterir, aldatma seviyesini kurbanların fark etmesi zor bir noktaya yükseltir.
Bu kötü amaçlı yazılımları bu kadar tehlikeli kılan şey, bir kullanıcı finansal kurumlarını aramaya çalıştığında, kötü amaçlı yazılımların aramayı gizlice kaçırması ve bunun yerine bir saldırganın telefon numarasına yönlendirmesidir.
Yeni Zimperium raporunda, "Meydan okumuş bireysel finans kurumlarıyla iletişim kurma girişimleri olduğunda, kötü amaçlı yazılım çağrıyı saldırgan tarafından kontrol edilen hileli bir sayıya yönlendirir."
"Kötü niyetli uygulama, kullanıcıyı aldatacak ve gerçek bankanın telefon numarasını gösteren meşru Android'in çağrı arayüzü gibi görünen ikna edici bir sahte kullanıcı arayüzü gösterecek."
"Kurban, kötü amaçlı yazılımın sahte kullanıcı arayüzü gerçek bankacılık deneyimini taklit edeceğinden, saldırganın hassas bilgileri çıkarmasına veya mağdurun finansal hesaplarına yetkisiz erişim kazanmasına izin vereceği için manipülasyonun farkında olmayacak.
Daha ağır kod gizlemesine rağmen, Zimperium ayrıca en son sahtekarlık sürümlerinin birkaç iyileştirme ve saldırı mekanizması eklediğini keşfetti, ancak bazıları hala geliştiriliyor.
İlk olarak, FakeCall bir Bluetooth dinleyicisi ve bir ekran durumu monitörü ekledi, her ikisi de kötü niyetli işlevsellik olmadan.
Kötü amaçlı yazılım, kullanıcı arayüzü üzerinde kapsamlı bir kontrol elde etmek için Android'in erişilebilirlik hizmetinden yararlanarak çevirici etkinliğini izlemesine, otomatik olarak izin vermesine ve tıklamalar ve jestler gibi kullanıcı eylemlerini simüle etmesine izin veriyor.
Yeni bir telefon dinleyici hizmeti, saldırganın komut ve kontrol (C2) sunucusuyla bir iletişim kanalı kurar ve cihaz konumunu almak, uygulamaları silme, ses veya video kaydetme ve kişileri düzenleme gibi çeşitli işlemleri gerçekleştirmelerini sağlar.
En son varyant üzerine eklenen yeni komutlar şunları içerir:
Bu eklemeler, sahtekarlığın aktif gelişme altında olduğunu ve operatörlerinin onu daha kaçınılmaz ve zorlu bir bankacılık Truva atı haline getirmek için çalıştığını göstermektedir.
Zimperium, kullanıcıların kötü amaçlı yazılımları taşıyan kötü amaçlı uygulamalardan kaçınabilmesi için uygulama paketi adları ve APK sağlama toplamları dahil olmak üzere uzlaşma göstergelerinin (IOC) bir listesi yayınladı. Ancak, bunlar tehdit aktörleri tarafından sıklıkla değiştirilir.
Her zaman olduğu gibi, kullanıcıların Android uygulamalarını APKS aracılığıyla manuel olarak yüklemekten ve bunun yerine Google Play'den yüklemekten kaçınmaları önerilmektedir. Kötü amaçlı yazılım yine de Google'ın hizmetine girebilirken, algılandığında Google Play Protect tarafından kaldırılabilir.
Google Play'de 200'den fazla kötü amaçlı uygulama milyonlarca kez indirildi
Trickmo kötü amaçlı yazılım, sahte kilit ekranı kullanarak android pimlerini çalar
Yeni Octo Android kötü amaçlı yazılım sürümü Nordvpn, Google Chrome'u taklit ediyor
Rusya, Windows, Android kötü amaçlı yazılımlarla Ukrayna istifalarını hedefliyor
Yeni VO1D kötü amaçlı yazılım 1,3 milyon Android akış kutusuna bulaştı
Kaynak: Bleeping Computer