威胁行为者利用安卓恶意软件载荷实施精心策划的社会工程学诈骗。移动安全专家Zimperium的研究人员表示,一种名为“FakeCall”的恶意软件正诱骗安卓设备用户交出敏感数据。
据Zimperium团队介绍,“FakeCall”恶意软件使威胁行为者能够伪造来电的原始号码并重定向拨出的电话。
这反过来又使攻击者能够伪装成银行或金融机构等合法组织,进行语音网络钓鱼(即“vishing”攻击)。
Zimperium研究员费尔南多·奥尔特加解释说:“‘FakeCall’是一种极其复杂的vishing攻击,它利用恶意软件几乎完全控制移动设备,包括拦截来电和去电。”
“受害者被骗拨打由攻击者控制的欺诈电话号码,并在设备上模仿正常的用户体验。”
与大多数恶意软件感染一样,“FakeCall”载荷通过钓鱼邮件中的链接到达。如果受害者点击该链接,他们将被引导下载充当其他载荷释放器的APK可执行文件。
这些载荷之一将已感染的安卓设备连接到命令和控制(C2)服务器。然后,C2服务器接收指令,上传设备详细信息以及联系人和短信。
从那里,“FakeCall”恶意软件能够执行多项任务,包括监控设备、发送和接收消息,更重要的是,将自己设置为拨出电话和接收来电的默认方法。
这反过来又使攻击者能够有效地劫持被劫持设备上的任何拨出或接收的电话。攻击者可以轻而易举地冒充银行、零售商甚至政府组织,以骗取用户的个人信息和账户号码。
有趣的是,研究人员注意到,“FakeCall”恶意软件的最新版本包含蓝牙和屏幕状态监控等多项功能,但恶意软件操作者尚未使用这些功能。
奥尔特加解释说:“该恶意软件包含从安卓辅助功能服务继承的新服务,使其能够显著控制用户界面,并捕获屏幕上显示的信息。”
“反编译代码显示了以本机代码实现的方法,如onAccessibilityEvent()和onCreate(),从而掩盖了其具体的恶意意图。”
建议安卓用户仔细筛选电子邮件,避免点击任何随不请自来的消息附带的链接。