Хакеры используют запись разговора с сотрудником банка для кражи данных кредитных карт корейцев.
Исследователи Check Point Для просмотра ссылки Войди
Эксперты обнаружили, что последняя версия FakeCalls получила несколько механизмов уклонения от обнаружения, которых не было в предыдущих образцах. Было найдено более 2500 образцов FakeCalls, которые имитировали финансовые организации и реализовывали методы антианализа.
Первым шагом атаки является установка вредоносного приложения на устройство жертвы с помощью фишинга или вредоносной рекламы на сайтах.
FakeCalls распространяется в поддельных банковских приложениях, которые выдают себя за крупные корейские финансовые учреждения, поэтому жертвы думают, что используют легитимное приложение от надежного поставщика.
Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.
Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.
Схема атаки FakeCalls В дополнение к процессу Для просмотра ссылки Войди
В анализированных образцах FakeCalls включает в себя 3 новых метода избегания обнаружения:
- Многодисковый– манипулирование данными заголовка файла APK, а также установку аномально высоких значений для записи EOCD, чтобы запутать инструменты автоматизированного анализа;
- Манипулирование файлом AndroidManifest.xml, чтобы сделать его начальный маркер неразличимым, изменить структуру строк и стилей, и изменить смещение последней строки, чтобы вызвать неправильную интерпретацию;
- Добавление множества файлов во вложенные каталоги в папке ресурсов APK, в результате чего имена файлов и пути превышают 300 символов. По словам Check Point, это может вызвать проблемы для некоторых инструментов безопасности, из-за чего они не смогут обнаружить вредоносное ПО.
Согласно Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru