Zimperium 的 zLabs 团队发现了 FakeCall 恶意软件的新变种,该变种能够通过语音网络钓鱼 (vishing) 完全控制 Android 设备,旨在诱骗用户泄露财务信息。
FakeCall 最先由 ThreatFabric 和卡巴斯基发现,现已具备新功能,使其更难检测,允许攻击者远程操纵设备功能并绕过用户权限,以及捕获和控制呼叫。
FakeCall 攻击的工作原理
FakeCall 攻击以标准的网络钓鱼攻击开始,通常是通过欺骗性下载链接或短信诱骗受害者安装恶意 APK 文件,然后下载第二阶段恶意软件负载。
这种恶意软件经过高度混淆,能够使用先进的反检测技术,连接到远程命令和控制 (C2) 服务器以执行命令。
最新的 FakeCall 变体模仿了受感染设备上的标准拨号程序应用,拦截并控制来电和去电。
试图联系银行或其他金融机构的用户可能会在不知情的情况下被重定向到冒充客户支持的攻击者,然后攻击者会窃取财务和个人信息。
通过利用 Android 的无障碍服务,FakeCall 可监控拨号器活动并在未经用户同意的情况下响应权限提示,从而使恶意软件能够对设备操作进行广泛的控制。
此外,通过接收来自 C2 服务器的远程命令,攻击者可以模拟设备上的交互,拨打未经授权的电话或点击屏幕上的元素,从而进一步危害受害者的帐户安全。
https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/新功能
最新的 FakeCall 变种展现出高级功能,对用户构成严重安全风险。
这些新功能旨在延长恶意软件在设备上的存活时间,并使攻击者能够访问一系列敏感信息。
例如,该恶意软件现在包含检测蓝牙连接和屏幕状态的组件,可能为未来迭代中更复杂的行为做准备。
此外,FakeCall 还可以进行录音、拍照、启动实时视频流并控制两个摄像头。
该恶意软件的命令集在最新版本中得到了丰富,使攻击者可以对受感染的设备进行精细控制,涵盖广泛的活动,例如:
-
信息收集:恶意软件将设备信息、通话记录、联系人、短信和位置数据上传到 C2 服务器。
-
设备控制:远程攻击者可以结束通话、管理应用程序安装、截取屏幕截图、启动屏幕视频流以及访问摄像头源。
-
数据操纵:FakeCall 能够添加或删除联系人、删除通话记录,甚至发送或删除短信,使攻击者能够隐藏恶意行为。
-
远程界面模拟:使用辅助功能服务,恶意软件可以模拟点击和按钮按下,让攻击者可以导航设备并精确地操纵它。
为了防御这种威胁,请避免从 Google Play 商店之外下载应用程序,在传达敏感信息时独立验证呼叫者身份,并在您的 Android 设备上保持 Play Protect 处于活动状态。
原文始发于微信公众号(网络研究观):新型“FakeCall”变种劫持 Android 外拨电话进行网络钓鱼
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论