FakeCall-Vishing-Malware

Cybersicherheitsforscher haben eine neue Variante der bekannten Android-Bedrohungsfamilie FakeCall entdeckt, die Voice-Phishing- oder „Vishing“-Techniken verwendet, um Benutzer zu täuschen und sie dazu zu bringen, ihre persönlichen Daten preiszugeben.

Dieser fortgeschrittene Vishing-Angriff basiert auf Malware, die umfassende Kontrolle über ein infiziertes Mobilgerät erlangen und sogar eingehende und ausgehende Anrufe abfangen kann. Den Opfern wird vorgegaukelt, sie würden legitime Anrufe tätigen. Stattdessen werden sie mit betrügerischen Nummern verbunden, die vom Angreifer verwaltet werden, während sie auf ihrem Gerät eine vertraute Benutzeroberfläche erleben.

FakeCall, auch als FakeCalls und Letscall verfolgt, wurde seit seinem Auftreten im April 2022 von Informationssicherheitsforschern umfassend untersucht, wobei frühere Angriffswellen vor allem auf Mobilfunknutzer in Südkorea abzielten.

FakeCall sammelt Informationen von den Bildschirmen der Opfer

Die folgenden Paketnamen sind mit Dropper-Anwendungen verknüpft, die die Malware verteilen:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Wie andere Android-Banking-Bedrohungen missbraucht FakeCall die APIs der Zugänglichkeitsdienste, um die Gerätekontrolle zu erlangen und bösartige Aktivitäten auszuführen. Es nutzt diese APIs, um Informationen auf dem Bildschirm zu erfassen und sich bei Bedarf zusätzliche Berechtigungen zu erteilen.

Die Spionagefähigkeiten der Malware sind umfangreich und ermöglichen es ihr, Daten wie SMS-Nachrichten, Kontakte, Standorte und installierte Anwendungen zu sammeln. Sie kann auch Bilder aufnehmen, Live-Streams von der Front- und Rückkamera aufzeichnen, Kontakte hinzufügen und entfernen, Audioschnipsel aufnehmen, Bilder hochladen und mithilfe der MediaProjection API einen Live-Video-Feed von Geräteaktionen simulieren.

Die hinterhältigen neuen Taktiken der FakeCall-Malware

Die neu entdeckten Versionen der Malware wurden erweitert, um sowohl den Bluetooth-Status als auch die Bildschirmaktivität des Geräts zu überwachen. Was die Bedrohung jedoch erheblich erhöht, ist die Taktik, den Benutzer aufzufordern, die Anwendung als Standard-Dialer festzulegen, wodurch sie alle eingehenden und ausgehenden Anrufe verfolgen und manipulieren kann.

Dieser Zugriff ermöglicht es FakeCall, nicht nur Anrufe abzufangen, sondern auch gewählte Nummern zu ändern. So können beispielsweise Anrufe, die an eine Bank gerichtet sind, auf betrügerische Nummern umgeleitet werden, die der Angreifer kontrolliert, wodurch die Opfer zu unbeabsichtigten Aktionen verleitet werden.

Frühere Versionen von FakeCall forderten Benutzer auf, über die Anwendung selbst Anrufe bei ihrer Bank zu tätigen. Dabei gaben sie sich oft als verschiedene Finanzinstitute aus und präsentierten gefälschte Kreditangebote mit attraktiven Zinssätzen. Wenn ein kompromittierter Benutzer versucht, seine Bank anzurufen, leitet die Malware den Anruf an eine betrügerische Nummer um, die vom Angreifer kontrolliert wird.

Die bedrohliche Anwendung täuscht Benutzer mit einer überzeugenden gefälschten Benutzeroberfläche, die dem Android-Anrufbildschirm ähnelt und die echte Telefonnummer der Bank anzeigt. Diese nachgeahmte Benutzeroberfläche macht den Benutzer über die Manipulation nichts und ermöglicht es Angreifern, vertrauliche Informationen zu sammeln oder unbefugten Zugriff auf die Bankkonten des Opfers zu erhalten.

Hacker suchen weiterhin nach Möglichkeiten, Sicherheitsfunktionen zu umgehen

Der Anstieg hochentwickelter mobiler Phishing-Techniken (Mishing) ist eine Reaktion auf verbesserte Sicherheitsmaßnahmen und die zunehmende Verbreitung von Anruferidentifizierungs-Apps, die verdächtige Nummern identifizieren und Benutzer vor potenziellem Spam warnen sollen.

Vor Kurzem hat Google in Ländern wie Singapur, Thailand, Brasilien und Indien eine Sicherheitsinitiative getestet, die das Sideloading potenziell schädlicher Android-Apps automatisch verhindert, darunter auch solche, die Eingabehilfedienste anfordern.