Mobile Malware „FakeCalls“.

Cybersicherheitsforscher warnen Benutzer und Unternehmen gleichermaßen vor einer mobilen Malware-Bedrohung, die als „FakeCalls“-Android-Trojaner verfolgt wird. Diese bösartige Software hat die Fähigkeit, über 20 verschiedene Finanzanwendungen nachzuahmen, wodurch sie schwer zu erkennen ist. Darüber hinaus kann FakeCalls auch Telefongespräche mit Bankmitarbeitern simulieren, was als Voice-Phishing oder Vishing bekannt ist.

Vishing ist eine Art Social-Engineering-Angriff, der über das Telefon durchgeführt wird. Es beinhaltet den Einsatz von Psychologie, um Opfer dazu zu manipulieren, vertrauliche Informationen bereitzustellen oder Aktionen im Namen des Angreifers auszuführen. Der Begriff „Vishing“ ist eine Kombination aus den Wörtern „Voice“ und „Phishing“.

FakeCalls ist speziell auf den südkoreanischen Markt ausgerichtet und sehr vielseitig. Es erfüllt nicht nur seine primäre Funktion, sondern hat auch die Fähigkeit, private Daten von Opfern zu extrahieren. Dieser Trojaner ist aufgrund seiner Mehrzweckfunktionalität mit einem Schweizer Taschenmesser vergleichbar. Details über die Bedrohung wurden in einem Bericht der Infosec-Experten von Check Point Research veröffentlicht.

Vishing ist eine gefährliche Taktik der Cyberkriminalität

Voice-Phishing, auch als Vishing bekannt, ist eine Art Social-Engineering-Schema, das darauf abzielt, Opfer zu täuschen, damit sie glauben, dass sie mit einem legitimen Bankangestellten kommunizieren. Dies wird erreicht, indem eine gefälschte Internetbanking- oder Zahlungssystemanwendung erstellt wird, die ein echtes Finanzinstitut nachahmt. Die Angreifer bieten dem Opfer dann einen gefälschten Kredit mit einem niedrigeren Zinssatz an, den das Opfer aufgrund der wahrgenommenen Legitimität des Antrags möglicherweise annehmen möchte.

Die Angreifer nutzen diese Gelegenheit, um das Vertrauen des Opfers zu gewinnen und an dessen Kreditkartendaten zu gelangen. Sie tun dies, indem sie während des Gesprächs die Telefonnummer der Malware-Betreiber durch eine legitime Bankverbindung ersetzen. Dadurch entsteht der Eindruck, dass das Gespräch mit einer echten Bank und ihrem Mitarbeiter geführt wird. Sobald das Vertrauen des Opfers aufgebaut ist, wird es dazu verleitet, seine Kreditkartendaten zu „bestätigen“, um sich für den gefälschten Kredit zu qualifizieren.

Der Android-Trojaner FakeCalls kann sich als über 20 verschiedene Finanzanwendungen ausgeben und Telefongespräche mit Bankangestellten simulieren. Die Liste der nachgeahmten Organisationen umfasst Banken, Versicherungsunternehmen und Online-Shopping-Dienste. Die Opfer wissen nicht, dass die Malware versteckte „Funktionen“ enthält, wenn sie die „vertrauenswürdige“ Internet-Banking-Anwendung einer soliden Organisation installieren.

FakeCalls-Malware ist mit einzigartigen Anti-Erkennungstechniken ausgestattet

Mehr als 2500 Beispiele der FakeCalls-Malware wurden von Check Point Research entdeckt. Diese Stichproben unterscheiden sich in der Kombination von nachgeahmten Finanzorganisationen und implementierten Umgehungstechniken. Die Malware-Entwickler haben zusätzliche Vorkehrungen getroffen, um ihre Kreation zu schützen, indem sie mehrere einzigartige Umgehungstechniken implementiert haben, die noch nie zuvor gesehen wurden.

Zusätzlich zu ihren anderen Fähigkeiten kann die FakeCalls-Malware Live-Audio- und -Videostreams von der Kamera des infizierten Geräts erfassen und sie mit Hilfe einer Open-Source-Bibliothek an die Command-and-Control-Server (C&C) senden. Die Malware kann auch einen Befehl vom C&C-Server erhalten, um die Kamera während des Live-Streamings umzuschalten.

Um ihre echten C&C-Server zu verbergen, haben die Malware-Entwickler mehrere Methoden implementiert. Eine dieser Methoden beinhaltet das Lesen von Daten über Dead-Drop-Resolver in Google Drive oder die Verwendung eines beliebigen Webservers. Dead-Drop-Resolver ist eine Technik, bei der schädliche Inhalte auf legitimen Webdiensten gespeichert werden. Die schädlichen Domains und IP-Adressen werden ausgeblendet, um die Kommunikation mit echten C&C-Servern zu verschleiern. Über 100 eindeutige IP-Adressen wurden durch die Verarbeitung von Daten von Dead-Drop-Resolvern identifiziert. Eine andere Variante besteht darin, dass die Malware einen verschlüsselten Link zu einem bestimmten Resolver hartcodiert hat, der ein Dokument mit einer verschlüsselten Serverkonfiguration enthält.