Des chercheurs en cybersécurité ont découvert une nouvelle version d’une famille de logiciels malveillants Android bien connue baptisée Faux appel qui utilise des techniques de phishing vocal (ou vishing) pour inciter les utilisateurs à divulguer leurs informations personnelles.
« FakeCall est une attaque Vishing extrêmement sophistiquée qui exploite des logiciels malveillants pour prendre le contrôle presque complet de l’appareil mobile, y compris l’interception des appels entrants et sortants », a déclaré Fernando Ortega, chercheur chez Zimperium. dit dans un rapport publié la semaine dernière.
« Les victimes sont amenées à appeler des numéros de téléphone frauduleux contrôlés par l’attaquant et à imiter l’expérience utilisateur normale sur l’appareil. »
FakeCall, également suivi sous les noms FakeCalls et Letscall, a fait l’objet de multiples analyses par Kaspersky, Check Point et ThreatFabric depuis son émergence en avril 2022. Les vagues d’attaques précédentes visaient principalement les utilisateurs mobiles en Corée du Sud.
Les noms des packages malveillants, c’est-à-dire les applications dropper, portant le malware sont répertoriés ci-dessous –
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Comme d’autres familles de logiciels malveillants bancaires Android connues pour abuser des API des services d’accessibilité pour prendre le contrôle des appareils et effectuer des actions malveillantes, FakeCall l’utilise pour capturer les informations affichées à l’écran et s’accorder des autorisations supplémentaires si nécessaire.
Certaines des autres fonctionnalités d’espionnage incluent la capture d’un large éventail d’informations, telles que les messages SMS, les listes de contacts, les emplacements et les applications installées, la prise de photos, l’enregistrement d’un flux en direct à partir des caméras arrière et avant, l’ajout et la suppression de contacts. , en récupérant des extraits audio, en téléchargeant des images et en imitant un flux vidéo de toutes les actions sur l’appareil à l’aide de l’API MediaProjection.
Les versions les plus récentes sont également conçues pour surveiller l’état du Bluetooth et l’état de l’écran de l’appareil. Mais ce qui rend le malware plus dangereux, c’est qu’il demande à l’utilisateur de définir l’application comme numéroteur par défaut, lui donnant ainsi la possibilité de garder un œil sur tous les appels entrants et sortants.
Cela permet non seulement à FakeCall d’intercepter et de détourner des appels, mais également de modifier un numéro composé, comme celui d’une banque, en un numéro malveillant sous leur contrôle, et d’inciter les victimes à effectuer des actions involontaires.
En revanche, des variantes précédentes de FakeCall incitaient les utilisateurs à appeler la banque depuis l’application malveillante imitant diverses institutions financières sous le couvert d’une offre de prêt avec un taux d’intérêt inférieur.
« Lorsque la personne compromise tente de contacter son institution financière, le logiciel malveillant redirige l’appel vers un numéro frauduleux contrôlé par l’attaquant », a déclaré Ortega.
« L’application malveillante trompera l’utilisateur en affichant une fausse interface utilisateur convaincante qui semble être l’interface d’appel légitime d’Android montrant le numéro de téléphone de la vraie banque. La victime ne sera pas au courant de la manipulation, car la fausse interface utilisateur du malware imitera l’expérience bancaire réelle. , permettant à l’attaquant d’extraire des informations sensibles ou d’obtenir un accès non autorisé aux comptes financiers de la victime.
L’émergence de nouvelles stratégies sophistiquées de mishing (ou phishing mobile) met en évidence une réponse à l’amélioration des défenses de sécurité et à l’utilisation répandue d’applications d’identification de l’appelant, qui peuvent signaler les numéros suspects et avertir les utilisateurs d’un spam potentiel.
Ces derniers mois, Google a également expérimenté une initiative de sécurité qui bloque automatiquement le téléchargement d’applications Android potentiellement dangereuses, en comptant celles qui demandent des services d’accessibilité, à Singapour, en Thaïlande, au Brésil et en Inde.