Вредоносное ПО FakeCalls может скрывать телефонный номер мошенника

[Artifact]

Хакеры используют запись разговора с сотрудником банка для кражи данных кредитных карт корейцев.
Исследователи Check Point сообщают , что вредоносное ПО для Android «FakeCalls» распространяется в Южной Корее, имитируя телефонные звонки в более чем 20 финансовых организаций и пытаясь обманом заставить банкиров выдать данные своих кредитных карт.
Эксперты обнаружили, что последняя версия FakeCalls получила несколько механизмов уклонения от обнаружения, которых не было в предыдущих образцах. Было найдено более 2500 образцов FakeCalls, которые имитировали финансовые организации и реализовывали методы антианализа.
Первым шагом атаки является установка вредоносного приложения на устройство жертвы с помощью фишинга или вредоносной рекламы на сайтах.
FakeCalls распространяется в поддельных банковских приложениях, которые выдают себя за крупные корейские финансовые учреждения, поэтому жертвы думают, что используют легитимное приложение от надежного поставщика.
Атака начинается с того, что приложение предлагает жертве кредит с низкой процентной ставкой. Как только жертва проявляет интерес, вредоносное ПО инициирует телефонный звонок, который воспроизводит запись реальной службы поддержки клиентов банка с инструкциями по одобрению заявки на кредит.
Однако FakeCalls маскирует номер звонящего злоумышленника, и вместо этого отображает реальный номер поддельного банка. В ходе разговора жертву просят для получения кредита подтвердить данные своей кредитной карты, которые затем похищают злоумышленники.

Схема атаки FakeCalls
В дополнение к процессу вишинга FakeCalls может захватывать аудио- и видеопотоки со взломанного устройства, что может помочь хакерам собрать дополнительную информацию.
В анализированных образцах FakeCalls включает в себя 3 новых метода избегания обнаружения:

• Многодисковый – манипулирование данными заголовка файла APK, а также установку аномально высоких значений для записи EOCD, чтобы запутать инструменты автоматизированного анализа;

• Манипулирование файлом AndroidManifest.xml, чтобы сделать его начальный маркер неразличимым, изменить структуру строк и стилей, и изменить смещение последней строки, чтобы вызвать неправильную интерпретацию;

• Добавление множества файлов во вложенные каталоги в папке ресурсов APK, в результате чего имена файлов и пути превышают 300 символов. По словам Check Point, это может вызвать проблемы для некоторых инструментов безопасности, из-за чего они не смогут обнаружить вредоносное ПО.

Согласно статистике правительства Южной Кореи, вишинг только в 2020 году обошёлся жертвам в стране в $600 млн.. Хотя FakeCalls сосредоточен в Южной Корее, вредоносное ПО может легко распространить свою деятельность на другие регионы, если его разработчики или партнёры разработают новый языковой пакет и оверлей приложений для целевых банков в разных странах.