Siber güvenlik araştırmacıları, tanınmış bir Android kötü amaçlı yazılım ailesinin yeni bir sürümünü keşfettiler. Sahte Arama Kullanıcıları kişisel bilgilerini vermeleri için kandırmak amacıyla sesli kimlik avı (diğer adıyla vishing) tekniklerini kullanan bir yazılımdır.
Zimperium araştırmacısı Fernando Ortega, “FakeCall, gelen ve giden aramaların dinlenmesi de dahil olmak üzere, mobil cihazın neredeyse tüm kontrolünü ele geçirmek için kötü amaçlı yazılımdan yararlanan son derece karmaşık bir Vishing saldırısıdır.” söz konusu Geçen hafta yayınlanan bir raporda.
“Kurbanlar, saldırgan tarafından kontrol edilen sahte telefon numaralarını aramaları ve cihazdaki normal kullanıcı deneyimini taklit etmeleri için kandırılıyor.”
FakeCalls ve Letscall adlarıyla da takip edilen FakeCall, Nisan 2022’de ortaya çıkmasından bu yana Kaspersky, Check Point ve ThreatFabric tarafından çok sayıda analize konu oldu. Önceki saldırı dalgaları öncelikle Güney Kore’deki mobil kullanıcıları hedef alıyordu.
Kötü amaçlı yazılımı taşıyan kötü amaçlı paket adlarının (dropper apps) adları aşağıda listelenmiştir:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Erişilebilirlik hizmetleri API’lerini kötüye kullanarak cihazların kontrolünü ele geçirdiği ve kötü amaçlı eylemler gerçekleştirdiği bilinen diğer Android bankacılık kötü amaçlı yazılım aileleri gibi, FakeCall da bunu ekranda görüntülenen bilgileri yakalamak ve gerektiğinde kendisine ek izinler vermek için kullanıyor.
Diğer casusluk özelliklerinden bazıları arasında SMS mesajları, kişi listeleri, konumlar ve yüklü uygulamalar gibi çok çeşitli bilgilerin yakalanması, fotoğraf çekilmesi, hem arka hem de ön kameralardan canlı yayın kaydedilmesi, kişi eklenmesi ve silinmesi yer alır. MediaProjection API’yi kullanarak ses parçalarını yakalayabilir, görüntüleri yükleyebilir ve cihazdaki tüm eylemlerin video akışını taklit edebilirsiniz.
Daha yeni sürümler ayrıca Bluetooth durumunu ve cihaz ekranı durumunu izlemek için tasarlanmıştır. Ancak kötü amaçlı yazılımı daha tehlikeli kılan şey, kullanıcıya uygulamayı varsayılan çevirici olarak ayarlaması talimatını vermesi ve böylece ona gelen ve giden tüm aramaları takip etme yeteneği vermesidir.
Bu, FakeCall’ın yalnızca çağrıları kesmesine ve ele geçirmesine olanak sağlamakla kalmıyor, aynı zamanda bir bankaya yapılan numaralar gibi çevrilen bir numarayı kendi kontrolleri altındaki hileli bir numarayla değiştirmesine ve kurbanları istenmeyen eylemler gerçekleştirmeye ikna etmesine de olanak tanıyor.
Buna karşılık, FakeCall’ın önceki versiyonlarının, kullanıcıları daha düşük faiz oranlı bir kredi teklifi kisvesi altında çeşitli finans kurumlarını taklit eden kötü amaçlı uygulama içinden bankayı aramaya teşvik ettiği tespit edildi.
Ortega, “Ele geçirilen kişi finans kurumuyla iletişime geçmeye çalıştığında, kötü amaçlı yazılım çağrıyı saldırganın kontrol ettiği sahte bir numaraya yönlendiriyor” dedi.
“Kötü amaçlı uygulama, gerçek bankanın telefon numarasını gösteren meşru Android arama arayüzü gibi görünen ikna edici bir sahte kullanıcı arayüzü görüntüleyerek kullanıcıyı aldatacaktır. Kötü amaçlı yazılımın sahte kullanıcı arayüzü gerçek bankacılık deneyimini taklit edeceğinden, kurban manipülasyondan habersiz olacaktır. Saldırganın hassas bilgileri ele geçirmesine veya kurbanın mali hesaplarına yetkisiz erişim sağlamasına olanak tanıyor.”
Yeni, gelişmiş mishing (diğer adıyla mobil kimlik avı) stratejilerinin ortaya çıkışı, gelişmiş güvenlik savunmalarına ve şüpheli numaraları işaretleyebilen ve kullanıcıları potansiyel spam konusunda uyarabilen arayan tanımlama uygulamalarının yaygın kullanımına karşı bir karşı tepkiyi vurgulamaktadır.
Son aylarda Google, Singapur, Tayland, Brezilya ve Hindistan’da erişilebilirlik hizmetleri talep edenleri de sayarak potansiyel olarak güvenli olmayan Android uygulamalarının dışarıdan yüklenmesini otomatik olarak engelleyen bir güvenlik girişimini de deniyor.