Android

Android向けマルウェア「FakeCall」の新バージョンが、ユーザーから銀行への発信をハイジャックし、代わりに攻撃者の電話番号にリダイレクトする。

最新バージョンの目的は、依然として人々の機密情報と銀行口座からの金銭を盗むことだ。

FakeCall(またはFakeCalls)は音声フィッシングを中心としたバンキング型トロイの木馬で、被害者は銀行になりすました詐欺電話によって騙され、機密情報を伝えるよう要求されます。

Kasperskyがこのトロイの木馬を最初に報告したのは2022年4月のことで、被害者を騙して銀行と通話中であると信じ込ませるために、リアルに見える通話インターフェースを特徴としています。

チェックポイント社による2023年3月のレポートでは、FakeCallは現在20を超える金融機関になりすまし、ターゲットに低金利のローンを提供し、検知率を下げるための新たな回避メカニズムを備えていると警告している。

ヴィッシング(音声フィッシング)に加え、FakeCallは感染したデバイスからライブ音声やビデオストリームをキャプチャすることも可能で、攻撃者は被害者とのやり取りなしに機密データを盗むことができる。

通話の乗っ取り

以前のバージョンでは、FakeCallはユーザーにアプリ内から銀行に電話をかけるよう促し、金融機関になりすました。その後、偽の画面がオーバーレイ表示され、銀行の実際の番号が表示され、被害者は詐欺師に接続される。

Zimperiumが分析した最新バージョンでは、悪意のあるアプリは自身をデフォルトのコールハンドラとして設定し、Android APKを通じてアプリケーションをインストールする際に、この動作を承認するようユーザーに求める。

Androidのコールハンドラは、発着信を管理し、基本的にダイヤル、接続、通話終了を処理するメインインターフェイスとして機能する。

マルウェアは、デフォルトのコール・ハンドラとして設定するようユーザーに促すと、発信と着信の両方を傍受して操作する許可を得る。

偽の通話インターフェースは実際のAndroidダイヤラーを模倣し、信頼できる連絡先情報や名前を表示することで、被害者が気づきにくいレベルまで欺瞞のレベルを高めている。

このマルウェアが非常に危険なのは、ユーザーが金融機関に電話をかけようとすると、マルウェアが密かに通話をハイジャックし、代わりに攻撃者の電話番号にリダイレクトすることだ。

「感染したユーザーが金融機関に連絡しようとすると、マルウェアは攻撃者が管理する不正な電話番号にリダイレクトする。

「悪意のあるアプリはユーザーを欺き、本物の銀行の電話番号を示す正規のAndroidの通話インターフェースのように見える説得力のある偽のUIを表示する。

“マルウェアの偽UIが実際のバンキング体験を模倣するため、被害者は操作に気づかず、攻撃者は機密情報を引き出したり、被害者の金融口座に不正アクセスしたりすることができます。

Overview of latest FakeCall attacks
最新の FakeCall 攻撃の概要
Source:Zimperium

新機能と改善点

コードの難読化が進んでいるにもかかわらず、Zimperiumは、最新のFakeCallバージョンにいくつかの改良と攻撃メカニズムが追加されていることも発見しました。

まず、FakeCallはBluetoothリスナーとスクリーン・ステート・モニターを追加した。

このマルウェアは現在、Androidのアクセシビリティ・サービスを活用してユーザー・インターフェースを広範囲に制御し、ダイヤラーのアクティビティを監視したり、パーミッションを自動的に付与したり、クリックやジェスチャーなどのユーザー・アクションをシミュレートしたりできるようになっている。

新しい電話リスナーサービスは、攻撃者のコマンド&コントロール(C2)サーバーとの通信チャネルを確立し、デバイスの位置情報の取得、アプリの削除、オーディオまたはビデオの録画、連絡先の編集など、さまざまなアクションを実行するコマンドを発行できるようにします。

最新の亜種で追加された新しいコマンドは以下の通り:

  • マルウェアをデフォルトのコールハンドラとして設定する。
  • デバイスの画面コンテンツのライブストリーミングを開始する。
  • デバイスのディスプレイのスクリーンショットを撮る。
  • デバイスがロックされている場合にロックを解除し、自動ロックを一時的にオフにする。
  • アクセシビリティサービスを使用して、ホームボタンを押す動作を模倣する。
  • C2サーバーが指定した画像を削除する。
  • ストレージから画像やサムネイルにアクセス、圧縮、アップロードする。

これらの追加機能は、FakeCallが活発に開発中であり、そのオペレーターがより回避可能で手強いバンキング型トロイの木馬になるよう取り組んでいることを示している。

Zimperiumは、アプリのパッケージ名やAPKチェックサムを含む侵害の指標(IoC)のリストを公開しており、ユーザーはマルウェアを運ぶ悪意のあるアプリを回避することができます。しかし、これらは脅威行為者によって頻繁に変更されます。

これまでと同様、AndroidアプリをAPK経由で手動でインストールすることは避け、Google Playからインストールすることをお勧めします。マルウェアがGoogleのサービスに侵入する可能性はあるものの、検出されればGoogle Playプロテクトによって削除することができる。