Logiciel malveillant mobile "FakeCalls"
Les chercheurs en cybersécurité mettent en garde les utilisateurs et les entreprises contre une menace de malware mobile identifiée sous le nom de cheval de Troie Android "FakeCalls". Ce logiciel malveillant a la capacité d'imiter plus de 20 applications financières différentes, ce qui le rend difficile à détecter. De plus, FakeCalls peut également simuler des conversations téléphoniques avec des employés de banque, ce qui est connu sous le nom de phishing vocal ou vishing.
Le vishing est un type d'attaque d'ingénierie sociale menée par téléphone. Cela implique d'utiliser la psychologie pour manipuler les victimes afin qu'elles fournissent des informations sensibles ou effectuent des actions au nom de l'attaquant. Le terme "vishing" est une combinaison des mots "voice" et "phishing".
FakeCalls est spécifiquement destiné au marché sud-coréen et est très polyvalent. Il remplit non seulement sa fonction principale, mais a également la capacité d'extraire des données privées des victimes. Ce cheval de Troie est comparable à un couteau suisse en raison de sa fonctionnalité polyvalente. Des détails sur la menace ont été publiés dans un rapport des experts de la sécurité informatique de Check Point Research.
Le vishing est une tactique cybercriminelle dangereuse
Le phishing vocal, également connu sous le nom de vishing, est un type de système d'ingénierie sociale qui vise à tromper les victimes en leur faisant croire qu'elles communiquent avec un employé de banque légitime. Ceci est réalisé en créant une fausse application de banque en ligne ou de système de paiement qui imite une véritable institution financière. Les attaquants proposent alors à la victime un faux prêt avec un taux d'intérêt inférieur, que la victime peut être tentée d'accepter en raison de la légitimité perçue de la demande.
Les agresseurs profitent de cette occasion pour gagner la confiance de la victime et obtenir les détails de sa carte de crédit. Pour ce faire, ils remplacent le numéro de téléphone appartenant aux opérateurs de logiciels malveillants par un numéro de banque légitime pendant la conversation. Cela donne l'impression que la conversation est avec une vraie banque et son employé. Une fois la confiance de la victime établie, elle est amenée à «confirmer» les détails de sa carte de crédit dans le cadre du processus de qualification pour le faux prêt.
Le cheval de Troie Android FakeCalls peut se faire passer pour plus de 20 applications financières différentes et simuler des conversations téléphoniques avec des employés de banque. La liste des organisations qui ont été imitées comprend des banques, des compagnies d'assurance et des services d'achat en ligne. Les victimes ne savent pas que le logiciel malveillant contient des "fonctionnalités" cachées lorsqu'elles installent l'application bancaire en ligne "de confiance" d'une organisation solide.
FakeCalls Malware est équipé de techniques anti-détection uniques
Plus de 2500 échantillons du malware FakeCalls ont été découverts par Check Point Research. Ces échantillons varient dans la combinaison d'organisations financières imitées et de techniques d'évasion mises en œuvre. Les développeurs de logiciels malveillants ont pris des précautions supplémentaires pour protéger leur création en mettant en œuvre plusieurs techniques d'évasion uniques qui n'avaient jamais été vues auparavant.
En plus de ses autres fonctionnalités, le logiciel malveillant FakeCalls peut capturer des flux audio et vidéo en direct depuis la caméra de l'appareil infecté et les envoyer aux serveurs Command-and-Control (C&C) à l'aide d'une bibliothèque open source. Le logiciel malveillant peut également recevoir une commande du serveur C&C pour changer la caméra pendant la diffusion en direct.
Pour garder leurs vrais serveurs C&C cachés, les développeurs de logiciels malveillants ont mis en place plusieurs méthodes. L'une de ces méthodes consiste à lire des données via des résolveurs de dead drop dans Google Drive ou à utiliser un serveur Web arbitraire. Le résolveur Dead Drop est une technique dans laquelle le contenu malveillant est stocké sur des services Web légitimes. Les domaines et adresses IP malveillants sont masqués pour dissimuler la communication avec les vrais serveurs C&C. Plus de 100 adresses IP uniques ont été identifiées grâce au traitement des données des résolveurs de dead drop. Une autre variante implique que le logiciel malveillant ait codé en dur un lien crypté vers un résolveur spécifique contenant un document avec une configuration de serveur cryptée.
