Новая версия Android-вредоноса FakeCall перехватывает исходящие вызовы при попытке пользователя дозвониться в банк. Вместо кредитной организации на вызов отвечают киберпреступники.
Авторы FakeCall часто дорабатывают троян, внедряя новые функциональные возможности. В прошлом году, например, FakeCall научился уходить от защитных программ.
Цель вредоноса остаётся неизменной: операторам нужно добраться до конфиденциальной информации и денег жертвы.
Чтобы подцепить пользователя на крючок, троян FakeCall сам предлагает позвонить в кредитную организацию, причём сделать это можно непосредственно из вредоносного приложения, всячески маскирующегося под банковский софт.
Фейковое окно показывает подлинный телефонный номер кредитной организации, однако жертва в итоге дозванивается операторам FakeCall.
Актуальную версию вредоноса проанализировали исследователи из компании Zimperium. Инсталляция FakeCall происходит с помощью соответствующего APK-файла, после чего вредонос устанавливает себя в качестве обработчика голосовых вызовов.
Таком образом, даже если пользователь сам попытается дозвониться до банка, в котором обсуживается его счёт, троян перенаправит этот вызов киберпреступникам.
В отчёте Zimperium можно найти соответствующие индикаторы компрометации (IoC). Кроме того, специалисты перечисляют новые команды, которыми обзавелась новая версия FakeCall:
- возможность устанавливаться в качестве обработчика вызовов;
- запись в реальном времени активности на дисплее заражённого устройства;
- снятие скриншотов;
- разблокировка смартфона и отключение автоблокировки;
- возможность вытаскивать изображения и миниатюры из хранилища.
FakeCall всё ещё находится в стадии активной доработки.
