Mối đe dọa của phần mềm độc hại trên thiết bị Android đang không ngừng gia tăng và trở nên tinh vi hơn, đặc biệt là đối với Trojan ngân hàng. Một trong những mối đe dọa mới nhất, tiên tiến và nguy hiểm nhất là cuộc gọi giả, một loại Trojan ngân hàng được thiết kế riêng để nhắm vào người dùng Android bằng các kỹ thuật thao túng, chuyển hướng cuộc gọi và thu thập dữ liệu nhạy cảm. Trong phân tích sâu rộng này, bạn sẽ khám phá FakeCall lừa gạt nạn nhân như thế nào, kỹ thuật tấn công của nó là gì, tất cả các khả năng mới nhất của nó và tại sao nó lại đặt ra thách thức chưa từng có đối với bảo mật di động. Hơn nữa, thực hành tốt nhất để bảo vệ bản thân của phần mềm độc hại này và các phần mềm độc hại tương tự khác.
FakeCall là gì và tại sao nó lại nguy hiểm đối với Android?
FakeCall là một Trojan ngân hàng người sử dụng thành thạo kỹ thuật được gọi là lừa đảo (lừa đảo bằng giọng nói). Mục đích chính của phần mềm độc hại này là lừa người dùng tin rằng họ đang nói chuyện với đại diện thực sự của ngân hàng của họ, khiến họ chia sẻ thông tin bí mật như mật khẩu hoặc thông tin thẻ ngân hàng.
Phần mềm độc hại này được phát hiện lần đầu tiên cách đây vài năm, nhưng nó vẫn liên tục phát triển. Các biến thể mới nhất đã tăng sự tinh vi và nguy hiểm của chúng, tích hợp các chức năng cho phép bạn chặn và thậm chí chuyển hướng các cuộc gọi điện thoại xác thực, đạt đến mức độ thao túng chưa từng thấy ở các Trojan ngân hàng trước đây.
Mối nguy hiểm lớn nhất của FakeCall nằm ở khả năng mạo danh ứng dụng gọi điện của điện thoại.. Vì vậy, nó có thể tự thể hiện mình như là giao diện hợp pháp của thiết bị và mô phỏng rằng người dùng đang quay số điện thoại thực của ngân hàng họ, trong khi thực tế cuộc gọi đã bị chặn và chuyển hướng đến kẻ tấn công.
Theo báo cáo từ các công ty chuyên ngành như Zimperium, Kaspersky và Check Point, FakeCall không chỉ đánh lừa thị giác: sử dụng các quyền và API nâng cao để kiểm soát gần như toàn bộ thiết bị, truy cập thông tin liên lạc, nhật ký và dữ liệu khác theo yêu cầu.
Ngoài tất cả những điều trên, FakeCall chủ yếu lan truyền thông qua các chiến dịch Lừa đảo —email hoặc tin nhắn có vẻ như đến từ các tổ chức chính thức— và yêu cầu nạn nhân cài đặt các ứng dụng độc hại với lý do lừa đảo. Hiện tại, chúng đã được phát hiện Hơn một chục ứng dụng và tệp liên quan đến các chiến dịch FakeCall, tăng phạm vi tiếp cận của nó.
Cơ chế hoạt động bên trong của FakeCall: Cách thức nó chiếm đoạt và thao túng các cuộc gọi ngân hàng
Để hiểu được mức độ nghiêm trọng của mối đe dọa này, điều quan trọng là phải xem xét FakeCall truy cập và điều khiển chức năng gọi điện thoại như thế nào:
- Yêu cầu quyền nâng cao khi được cài đặt, chẳng hạn như truy cập quản lý cuộc gọi, đọc danh bạ và điều khiển màn hình.
- Đặt làm ứng dụng mặc định cho cuộc gọi: lừa người dùng cấp quyền này, điều này rất cần thiết để chặn và chuyển hướng cuộc gọi mà không bị phát hiện.
- Khi gọi đến số ngân hàng, ứng dụng can thiệp và chặn hành động. Thay vì kết nối với ngân hàng thực, cuộc gọi sẽ được chuyển đến một số do tội phạm mạng kiểm soát.
- Màn hình sẽ hiển thị giao diện và số ngân hàng hợp lệ, tạo ra sự tin tưởng sai lầm và giúp nạn nhân dễ dàng cung cấp dữ liệu của mình hơn.
- Trong một số trường hợp, nạn nhân có thể nhận được cuộc gọi đến được cho là từ ngân hàng của họ, nhưng thực chất cuộc gọi này do tội phạm khởi tạo và điều khiển bằng số điện thoại giả mạo.
Ở các phiên bản trước, FakeCall khuyến khích người dùng liên hệ với ngân hàng của họ thông qua một ứng dụng giả mạo bắt chước ứng dụng chính thức. Các biến thể hiện tại tận dụng lợi thế của việc thao túng hệ thống cuộc gọi, đạt được sự lừa dối tinh vi và nguy hiểm hơn.
Giao diện giả mạo tinh vi đến mức nạn nhân không bao giờ phát hiện ra sự thao túng, cho phép kẻ tấn công trò chuyện, đặt câu hỏi bảo mật và yêu cầu mã OTP hoặc mật khẩu dùng một lần.
Khả năng tiên tiến và tính năng nguy hiểm của FakeCall
FakeCall không chỉ đơn thuần là một công cụ đánh cắp dữ liệu giọng nói: Đây là công cụ kiểm soát và theo dõi toàn diện dành cho các thiết bị Android.. Các phiên bản nguy hiểm nhất của nó tích hợp một loạt các chức năng chưa từng thấy trong một Trojan ngân hàng nào trước đây:
- Phát trực tiếp màn hình:Nó có thể truyền phát mọi thứ diễn ra trên màn hình người dùng theo thời gian thực, cho phép kẻ tấn công quan sát mọi hoạt động, bao gồm dữ liệu nhạy cảm và các chuyển động trong ứng dụng ngân hàng.
- Ảnh chụp màn hình tự độngFakeCall có thể chụp ảnh màn hình bất cứ lúc nào và gửi đến máy chủ của kẻ tấn công để đánh giá thông tin hoặc tài liệu được hiển thị.
- Mở khóa và điều khiển màn hình:Nó có khả năng mở khóa điện thoại và ngăn màn hình tự động tắt, giúp người dùng có thể truy cập thiết bị trong thời gian dài mà không bị phát hiện.
- Phát lệnh từ xa: Sử dụng cùng các quyền được cấp để thực hiện các hành động trên thiết bị, chẳng hạn như mô phỏng các lần nhấn phím, quản lý các ứng dụng đang mở hoặc thậm chí kích hoạt camera để ghi hình.
- Xóa tập tin và rò rỉ:Nó có khả năng truy cập thư mục hình ảnh, nén và tải ảnh lên, xóa tệp hoặc thao tác thông tin đã lưu trữ.
- Lạm dụng API trợ năng:FakeCall tự cấp cho mình các quyền bổ sung, vượt qua các hạn chế bảo mật và mở rộng sức mạnh của nó trong hệ thống Android.
- Thu thập thông tin hàng loạt:Nó có khả năng thu thập dữ liệu từ danh bạ, tin nhắn SMS, vị trí, danh sách các ứng dụng đã cài đặt, thậm chí ghi lại âm thanh xung quanh hoặc từ camera của thiết bị.
- Giám sát và hiển thị Bluetooth:Một số biến thể có thể biết khi nào người dùng đang sử dụng Bluetooth hoặc theo dõi trạng thái màn hình, điều chỉnh hành vi của chúng dựa trên quyền riêng tư rõ ràng của người dùng.
- Thao tác trạng thái của điện thoại:Nó thậm chí có thể mô phỏng hành động nhấn nút home hoặc điều khiển chức năng khóa tự động, khiến nạn nhân khó phát hiện ra hoạt động bất thường khi bị lừa đảo.
Sự tích hợp của tất cả các chức năng này làm cho FakeCall một vũ khí đa năng phục vụ cho tội phạm mạng, làm tăng khả năng hư hỏng và khiến người dùng khó phát hiện thủ công.
Phương pháp lan truyền cuộc gọi giả và cách bảo vệ điện thoại của bạn
Con đường phát tán FakeCall chủ yếu là thông qua các chiến dịch lừa đảo., tức là các tin nhắn hoặc email giả mạo từ ngân hàng hoặc các tổ chức hợp pháp khác và khuyến khích người dùng cài đặt ứng dụng hoặc nhấp vào liên kết. Tuy nhiên, Phần mềm độc hại cũng có thể xuất hiện trên các cửa hàng ứng dụng không chính thức hoặc trên các trang web lừa đảo. giả vờ là của ngân hàng hoặc công ty được công nhận.
Khi nạn nhân tải xuống tệp APK độc hại, thường là với lời hứa cho vay, giảm giá hoặc các tính năng ngân hàng độc quyền, quá trình lây nhiễm bắt đầu. Quá trình cài đặt này kích hoạt các yêu cầu cấp quyền nâng cao và trong nhiều trường hợp, kết nối đến các máy chủ chỉ huy và điều khiển bên ngoài mà kẻ tấn công chỉ đạo thực hiện hoạt động độc hại.
Hiện nay, Google Play Protect đã chứng minh được hiệu quả của mình trong việc ngăn chặn phần mềm độc hại đã biết.và FakeCall chưa được phát hiện trong Cửa hàng Play chính thức. Tuy nhiên, Người dùng vẫn có nguy cơ khi tải xuống ứng dụng từ những nguồn chưa được xác minh. hoặc bị lừa bởi những thông điệp sai lệch.
Một số biến thể phần mềm độc hại nâng cao được xác định được nhóm dưới tên gói lạ và có thể bắt chước các công cụ, trình trợ giúp, tiện ích ngân hàng hoặc bộ phận trợ giúp hợp pháp.
Cách phòng thủ tốt nhất chống lại FakeCall và các trò lừa đảo tương tự là Duy trì thái độ chủ động và không tin tưởng đối với các ứng dụng chưa được xác minh:
- Chỉ cài đặt ứng dụng từ Cửa hàng Google Play hoặc từ các nguồn đã được xác minh và công nhận.
- Tránh tải xuống các tệp APK được gửi qua email hoặc tin nhắn không xác định, ngay cả khi chúng có vẻ đến từ những nguồn đáng tin cậy.
- Luôn giữ Google Play Protect hoạt động và thực hiện quét định kỳ bằng các ứng dụng bảo mật có uy tín.
- Không cấp quyền quá mức cho các ứng dụng, đặc biệt là các ứng dụng liên quan đến cuộc gọi, khả năng truy cập hoặc quản lý thiết bị.
- Hãy nghi ngờ bất kỳ ứng dụng nào yêu cầu trở thành ứng dụng gọi điện mặc định mà không có lý do rõ ràng.
- Hãy chú ý đến những dấu hiệu cố ý lừa dối, chẳng hạn như tin nhắn khẩn cấp hoặc lời hứa quá tốt đến mức không thể là sự thật.
- Kiểm tra định kỳ các ứng dụng đã cài đặt và xóa bất kỳ mục nào bạn không nhớ đã tải xuống.
Xác định các trường hợp nhiễm trùng, tên gói và phạm vi của các chiến dịch FakeCall
Các chuyên gia an ninh mạng đã phát hiện Hơn 13 ứng dụng và tệp .dex liên quan đến chiến dịch FakeCall. Một số biến thể phần mềm độc hại sử dụng tên gói ngẫu nhiên hoặc tên tương tự như các dịch vụ hợp pháp để tránh bị phát hiện. Ví dụ về tên được sử dụng là:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Phạm vi hoạt động của FakeCall đã lan rộng ra quốc tế. Trong những ngày đầu, nó chủ yếu tập trung vào người dùng ở các nước châu Á, nhưng chiến thuật và mã của nó đã nhanh chóng thích nghi để khai thác điểm yếu trong các hệ thống ở nơi khác, tận dụng Lỗi của con người và lỗ hổng bảo mật trong thiết bị Android.
Số lượng nạn nhân tiềm năng tăng lên khi phần mềm độc hại phát triển, đặc biệt là đối với người dùng không quen thuộc với các mối đe dọa mạng hiện đại hoặc tải xuống ứng dụng mà không xác minh tính xác thực.
Tác động thực sự: rủi ro đối với bảo mật và quyền riêng tư của người dùng Android
Tác động của FakeCall không chỉ dừng lại ở việc đánh cắp dữ liệu ngân hàng.. Phần mềm độc hại này có thể dẫn đến mất quyền kiểm soát hoàn toàn đối với thiết bị, đánh cắp danh tính, truy cập và xóa các tệp cá nhân và tiết lộ thông tin cá nhân và tài chính cho các mạng lưới tội phạm mạng.
Trong số những rủi ro có liên quan nhất là:
- Trộm cắp toàn bộ thông tin ngân hàng và mã một lần, điều này có thể dẫn đến việc xóa tài khoản hoặc chuyển nhượng trái phép.
- Truy cập và sử dụng thiết bị từ xa, cho phép kẻ tấn công vận hành thiết bị đầu cuối như thể họ là chủ sở hữu thực sự.
- Thu thập hàng loạt thông tin cá nhân (SMS, hình ảnh, danh bạ, âm thanh, v.v.) có thể được sử dụng để tống tiền, lừa đảo hoặc bán trên thị trường bất hợp pháp.
- Khó khăn cực độ trong việc phát hiện phần mềm độc hại, vì FakeCall mô phỏng hoàn hảo giao diện và trải nghiệm người dùng chuẩn của Android, mà không gây nghi ngờ trong quá trình gian lận.
- Thay đổi cài đặt thiết bị, chẳng hạn như chặn quyền truy cập thủ công hoặc thay đổi đặc quyền, khiến nạn nhân khó lấy lại quyền kiểm soát.
Google đã thực hiện các bước để ngăn chặn sự lây lan của các loại mối đe dọa này trên Google Play và đang thử nghiệm ở một số quốc gia các sáng kiến chặn tải xuống các ứng dụng có khả năng gây nguy hiểm, đặc biệt là những ứng dụng lạm dụng dịch vụ trợ năng.
Tuy nhiên, Sự bảo vệ phụ thuộc phần lớn vào sự chú ý và hành vi của mỗi người dùng. Phần mềm độc hại không tự cài đặt: nó đòi hỏi hành động của con người, thường là do sự cấp bách hoặc những lời hứa có sức thuyết phục và tin nhắn lừa đảo.
Sự phát triển liên tục của FakeCall chứng minh rằng tội phạm mạng đang điều chỉnh các kỹ thuật của chúng để phù hợp với các hệ thống phòng thủ mới và văn hóa số của người dùng trung bình, do đó thông tin và đào tạo vẫn là rào cản tốt nhất.
