在移动安全领域,网络安全厂商Zimperium的zLabs团队最近追踪到了一种名为FakeCall的知名恶意软件的新变种。该恶意软件利用所谓的Vishing(语音网络钓鱼)技术,通过欺诈性电话或语音消息来欺骗受害者,并窃取敏感信息,如登录凭证、信用卡号或银行详细信息。
Mishing攻击是一种针对移动设备的网络钓鱼攻击的总称,它包括多种利用移动设备特有功能的攻击手段。FakeCall恶意软件正是Mishing攻击的一个典型例子。攻击者越来越频繁地采用Mishing技术,以利用移动设备如语音通话、短信(SMS)和摄像头等独特功能。Mishing攻击主要包括以下几种方法:
-
Vishing(语音网络钓鱼):用于欺骗用户泄露机密信息或采取其他危险行动的欺诈性语音电话。 -
Smishing(短信网络钓鱼):诱使受害者点击恶意链接或共享敏感数据的欺骗性短信。 -
Quishing(二维码网络钓鱼):通过恶意二维码利用移动摄像头进行网络钓鱼攻击。 -
基于电子邮件的移动网络钓鱼:专门设计为仅在通过移动电子邮件客户端访问时执行的网络钓鱼电子邮件。
FakeCall恶意软件是一种高度复杂的Vishing(语音网络钓鱼)攻击工具,它通过恶意软件实现了对移动设备的几乎完全控制,包括拦截和操纵电话通讯。攻击者通过诱骗受害者拨打他们控制的欺诈电话号码,并在设备上模仿正常用户体验,以此来实施诈骗。研究人员的分析工作从审查FakeCall应用程序的AndroidManifest.xml文件开始。他们发现,该清单中列出了许多在反编译代码中未出现的活动、服务和接收器(即入口点)。这种差异暗示了恶意软件采用了更为复杂的架构,特别是它使用了动态解密和加载的.dex文件来包含那些缺失的代码部分。进一步的深入分析发现,FakeCall中的服务、接收器和活动与一个旧的恶意软件变种——包名为com.secure.assistant——有着惊人的相似之处。这表明FakeCall在技术上进行了大的演变,部分恶意功能被迁移到了更难以检测的原生代码中。
为了更好地理解FakeCall新样本的行为,研究人员对比了旧变种的代码。这种对比分析可以帮助发现恶意软件可能具备的潜在能力,从而更全面地理解FakeCall恶意软件的技术特点和攻击过程。
图1FakeCall恶意软件攻击示意图
关键技术分析过程:
1.AndroidManifest.xml文件分析: Zimperium的研究团队首先分析了应用程序的AndroidManifest.xml文件,发现了许多在反编译代码中缺失的活动、服务和接收器,这表明恶意软件使用了动态解密和加载的.dex文件。
2..dex文件提取: 研究团队从设备内存中提取了.dex文件,以便进行进一步的静态分析。
3.代码比较分析: 通过将新变种的代码与旧变种进行比较,研究团队发现新变种的恶意软件在原生代码中隐藏了其具体恶意意图,同时引入了新的功能。
4.新功能识别: 研究团队识别了恶意软件的新功能,包括蓝牙接收器、屏幕接收器、辅助功能服务和电话监听服务,这些功能增强了恶意软件控制用户界面和捕获屏幕信息的能力。
5.命令与控制(C2)服务器交互: FakeCall恶意软件与C2服务器通信,执行各种欺骗用户的行动。研究团队详细列出了恶意软件与C2服务器交互的命令和功能,包括发送短信、删除短信、上传联系人和通话记录、上传短信、删除应用、上传位置、开始录音、结束通话、上传应用信息、开启和关闭摄像头直播、添加和删除联系人、删除通话记录、拍照等。
6.实际攻击行为: 当应用程序被启动时,它会提示用户将其设置为默认的呼叫处理程序。一旦被设置为默认的呼叫处理程序,该应用程序就能够管理所有来电和去电。它通过捕获android.intent.action.NEW_OUTGOING_CALL意图并使用getResultData()提取电话号码,然后显示一个模仿原生com.android.dialer应用的自定义界面,无缝集成其恶意功能。
参考链接:
https://www.zimperium.com/blog/mishing-in-motion-uncovering-the-evolving-functionality-of-fakecall-malware/
原文始发于微信公众号(白泽安全实验室):语音网络钓鱼技术--FakeCall恶意软件最新功能进化
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论