新型安卓恶意软件FakeCall将银行来电转接到诈骗分子

Zimperium的研究人员发现了一个新的安卓FakeCall恶意软件版本，它劫持受害者的拨出电话，并将它们重定向到攻击者的电话号码。该恶意软件允许操作者窃取银行用户的敏感信息和银行账户资金。

FakeCall是一个银行木马，通过冒充银行进行欺诈性电话，从而获取受害者的敏感信息，实施语音钓鱼。FakeCall还可以访问受感染设备上的实时音频和视频流。新版本增强了规避和数据窃取能力，主要针对韩国用户。早期的FakeCall版本通过显示带有银行真实号码的假银行界面来诱骗用户拨打诈骗电话。在新版本中，FakeCall在安装后将自身设置为默认呼叫处理器，控制所有拨出电话。

Zimperium报告称，受害者被要求批准恶意应用程序作为默认呼叫处理器。FakeCall模仿了安卓拨号器，显示受信任的联系信息，以欺骗用户，并秘密劫持金融机构的呼叫，重定向到诈骗者。

Zimperium发布的报告中写道：“恶意应用程序将欺骗用户，显示一份似乎是真实的安卓呼叫界面，显示银行的真实电话号码。受害者将无法察觉欺骗，因为恶意应用程序的假UI将模仿实际银行体验，允许攻击者提取敏感信息或未经授权地访问受害者的金融账户。”

FakeCall依靠监控拨号活动服务来监控来自com.skt.prod.dialer包（股票拨号器应用程序）的事件，可能允许它检测用户是否尝试使用除 malware 本身以外的应用程序呼叫。恶意代码还可以检测com.google.android.permissioncontroller（系统权限管理器）和com.android.systemui（系统UI）的权限提示，并在检测到特定事件（例如TYPE_WINDOW_STATE_CHANGED）时自动授予权限，绕过用户同意。最后，恶意代码可以让远程攻击者控制受害者的设备UI，允许他们模拟用户交互，如点击、手势和应用程序之间的导航。这种能力使攻击者能够精确地操纵设备。

Zimperium报告继续说：“这个接收器主要作为监听器，监控蓝牙状态和变化。值得注意的是，源代码中没有立即证据表明这是恶意行为的占位符，raises questions about whether it serves as a placeholder for future functionality.”Zimperium已发布新的恶意软件版本的指标列表（IoC）。

原文始发于微信公众号（黑猫安全）：新型安卓恶意软件FakeCall将银行来电转接到诈骗分子