- 13,850
- 20
- 8 Ноя 2022
Троян FakeCalls получил обновление и теперь может имитировать реальные приложения.
Вредоносное ПО FakeCalls, Для просмотра ссылки Войдиили Зарегистрируйся , обновило тактику обхода средств безопасности. Если раньше банковский троян нацеливался на южнокорейские организации с помощью поддельных приложений, то сейчас FakeCalls использует легитимные ключи подписи приложений, чтобы обойти средства обнаружения на основе сигнатур.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся McAfee, кампания FakeCalls использует ключи, украденные из законного приложения, популярного в Южной Корее. Поддельные приложения, использующие этот ключ, маскируются под настоящие банковские приложения и даже используют их значки.
Поддельное (сверху) и легитимное банковское приложение (снизу)
Чтобы избежать обнаружения, FakeCalls использует упаковщик для шифрования своего исходного кода. Расшифровка исходного кода выявила несколько возможностей вредоносного ПО:
FakeCalls постоянно совершенствует свою тактику обхода систем безопасности. Более того, использование подлинных ключей приложений еще больше укрепило возможности имитации легитимных приложений. Чтобы оставаться в безопасности, эксперты рекомендуют загружать приложения только из официальных и надежных источников.
FakeCalls Для просмотра ссылки Войдиили Зарегистрируйся , которые выдают себя за крупные корейские финансовые учреждения, поэтому жертвы думают, что используют легитимное приложение от надежного поставщика.
Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.
Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.
Вредоносное ПО FakeCalls, Для просмотра ссылки Войди
Согласно Для просмотра ссылки Войди
Поддельное (сверху) и легитимное банковское приложение (снизу)
Чтобы избежать обнаружения, FakeCalls использует упаковщик для шифрования своего исходного кода. Расшифровка исходного кода выявила несколько возможностей вредоносного ПО:
- При запуске FakeCalls пытается установить другое приложение, запрашивая соответствующие разрешения. Установленное приложение хранится в каталоге ресурсов (asset directory) под видом HTML-файла «Introduction[.]html».
- Эта полезная нагрузка запрашивает у пользователя несколько дополнительных разрешений, в том числе разрешение на доступ к конфиденциальным данным на зараженном устройстве.
- Затем приложение регистрирует смартфон для нескольких служб, а затем устанавливает соединение с C2-сервером для получения дальнейших команд.
FakeCalls постоянно совершенствует свою тактику обхода систем безопасности. Более того, использование подлинных ключей приложений еще больше укрепило возможности имитации легитимных приложений. Чтобы оставаться в безопасности, эксперты рекомендуют загружать приложения только из официальных и надежных источников.
FakeCalls Для просмотра ссылки Войди
Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.
Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.
- Источник новости
- www.securitylab.ru
