研究人员发现了一种复杂的安卓金融诈骗木马的新变种,其最引人注目的特点是能够拦截受害者拨打给银行客服的电话。
FakeCall 最初于 2022 年引起公众关注,当时卡巴斯基安全公司的研究人员报告(https://www.kaspersky.com/blog/fakecalls-banking-trojan/44072/
)指出,这款恶意应用并非普通的银行木马。除了具备窃取账户凭据的常见功能外,FakeCall 还能将语音通话重定向到攻击者控制的号码。
战略性升级
这款伪装成 Google Play 商店的网站上提供的恶意软件,还能模拟银行工作人员的来电。这项新功能的目的是通过真人社交工程的方式,让受害者确信一切正常,从而更有效地诱骗他们泄露账户凭据。
当受害者在安装过程中按照指示授予应用成为安卓设备默认通话处理程序的权限后,电话拦截功能就会生效。从那时起,FakeCall 就能检测到拨打银行合法客服号码的通话,并将其重定向到攻击者控制的号码。为了更好地隐藏这种手法,木马还能在系统界面上显示自己的覆盖屏幕。
周三,移动安全公司 Zimperium 的研究员报告(https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/
)发现了该恶意软件的 13 个新变种。这款本已相当复杂的木马持续更新,表明其背后的攻击者正在加大投入。
Zimperium 的恶意软件研究员 Fernando Ortega 写道:"这些新发现的恶意软件变种虽然经过大量混淆,但仍保持着早期版本的特征。这表明了一种战略性的演进——部分恶意功能已迁移到本地代码中,使得检测变得更加困难。"
新的混淆主要是通过将恶意代码隐藏在应用程序动态解密和加载的 .dex 文件中实现的。因此,Zimperium 最初认为他们分析的恶意应用属于一个未知的恶意软件家族。随后研究人员从受感染设备的内存中转储了 .dex 文件并进行静态分析。
Ortega 写道:"随着深入研究,我们发现了一个规律。这些服务、接收器和活动与包名为 com.secure.assistant
的旧版恶意软件非常相似。"正是这个包名让研究人员将其与 FakeCall 木马联系起来。
许多新功能似乎尚未完全实现。除了混淆之外,其他新功能包括:
蓝牙接收器
该接收器主要作为监听器,监控蓝牙状态和变化。值得注意的是,源代码中没有明显的恶意行为迹象,这引发了人们对它是否只是未来功能的占位符的疑问。
屏幕接收器
与蓝牙接收器类似,该组件仅监控屏幕状态(开/关),源代码中也未显示任何恶意活动。
无障碍服务
该恶意软件整合了一个继承自安卓无障碍服务的新服务,使其能够获得对用户界面的重要控制权,并能捕获屏幕显示的信息。反编译的代码显示,_onAccessibilityEvent() 和 onCreate()_ 等方法都在本地代码中实现,这掩盖了它们具体的恶意意图。
虽然提供的代码片段主要关注在本地代码中实现的服务生命周期方法,但早期版本的恶意软件为我们提供了一些可能的功能线索:
监控拨号器活动:该服务似乎监控来自 com.skt.prod.dialer 包(股票拨号器应用)的事件,这可能让它能够检测用户何时试图使用恶意软件以外的应用拨打电话。 自动授予权限:该服务似乎能够检测来自 com.google.android.permissioncontroller(系统权限管理器)和 com.android.systemui(系统界面)的权限提示。在检测到特定事件(如 TYPE_WINDOW_STATE_CHANGED)时,它可以自动为恶意软件授予权限,绕过用户同意。 远程控制:该恶意软件使远程攻击者能够完全控制受害者设备的用户界面,允许他们模拟用户交互,如点击、手势和应用间导航。这种能力使攻击者能够精确地操控设备。 电话监听服务
该服务充当恶意软件与其命令和控制(C2)服务器之间的通道,允许攻击者发出命令并在受感染设备上执行操作。与其前身一样,新变种为攻击者提供了一套完整的功能(见下表)。一些功能已迁移到本地代码,而其他则是新增的,进一步增强了恶意软件破坏设备的能力。
卡巴斯基 2022 年的报告指出,FakeCall 当时仅支持韩语,似乎针对韩国的几家特定银行。去年,安全公司 ThreatFabric 的研究人员表示(https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset
)该木马已开始支持英语、日语和中文
,不过尚未发现针对这些语言使用者的实际攻击。
用户在安装任何移动应用时都应该深思熟虑,尤其是安卓设备的应用,因为多年来安卓一直是木马程序的重灾区——这些木马往往表面一套,暗地里却干着各种恶意勾当。与金融机构对接的应用更需要格外谨慎。安卓用户还应确保启用 Play Protect 服务,这是谷歌提供的一项扫描设备上恶意应用的服务,无论这些应用是从 Play 商店还是像 FakeCall 这样从第三方获得的。
Zimperium 已在此处(https://github.com/Zimperium/IOC/tree/master/2024-10-FakeCall
)发布了IoC威胁指标。
原文始发于微信公众号(独眼情报):恶意软件可以将银行电话重新路由到恶意号码,现已支持中文
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论