網絡犯罪份子為了達到目的,經常扭盡六壬,目的只為令人掉入他們設下的陷阱,去年研究人員就發現了一款不尋常的銀行木馬程式Fakecalls,除了常見的間諜功能,還具備「有趣」的「對話」功能,讓受害者與偽裝的銀行職員對通話。
偽裝的木馬程式
Fakecalls偽裝成韓國知名的銀行Kookmin Bank和KakaoBank的流動應用程式,特別之處是,除了平常的公司標誌,木馬程式製作者還刻意展示支援電話在畫面上,而上面寫的電話也能從KaKaoBank官方網站中找到。一經安裝,木馬程式立即要求取得所有權限,包括存取通訊錄、咪高峰和相機、地理位置和電話處理等等。
與銀行聯絡
與其他銀行木馬不同,Fakecalls能模擬與客戶支援的通話,如果受害者致電銀行熱線,木馬程式會小心地切斷連線,並打開自己的假通話畫面取代正常的通話應用程式,通話看起來很正常,其實背後一切都由攻擊者所控制。現階段木馬程式只是一個假通話畫面,而且Fakecalls只有韓語一種語言界面,這意味著如果電話的系統語言是其他語言,例如英言,受害者就能發現端倪。
在攔截通話後,有機會發生兩種劇本,第一種是Fakecalls直接把通話連線到網絡犯罪份子,因為應用程式已取得對外致電話權限,第二種是木馬程式播放預先錄製的音訊模擬銀行的歡迎訊息。
為了讓木馬程式與受害者保持像真的對話,網絡犯罪份子錄製了多段韓語的基本voicemail或call-center員工的對話。例如訛稱線路繁忙和對話會被錄音等等,隨後攻擊者就會偽裝成銀行職員,嘗試套取受害者的付帳資料或其他機密資料。除了對外致電,Fakecalls也能偽裝來電,當犯罪份子想聯絡受害者,木馬程式便會顯示假的畫面,用戶不會看見犯罪份子所用的真實號碼,而是木馬程式顯示的銀行支援電話。
間諜工具包
除了模仿客戶支援電話,Fakecalls也具備超過典型銀行木馬的功能,例如依照攻擊者的指令,惡意程式可以開啟受害者電話的咪高峰,並傳送錄音至他們的伺服器,也能秘密地在電話即時播放音效和影片。而且在安裝時木馬程式要求的授權,網絡犯罪份子能藉此確定裝置的位置、複製通訊名單或檔案到他們的伺服器,存取通話和舊的短訊。
這些權限不但容許惡意程式對用戶進行間諜行為,也能控制他們的裝置進行某些活動,木馬程式可以掛掉來電和從記錄中刪除,使騙徒可以封鎖和隱藏真正的銀行聯絡。Kaspersky的方案偵測到這惡意程式為Trojan-Banker.AndroidOS.Fakecalls,並防護裝置的安全。
維持安全的方法
為避免自己的資料和金錢落入網絡犯罪份子手上,不妨遵循以下幾個簡單貼士:
- 只在官方途徑下載應用程式,不要從不明來源安裝,官方商店對所有程式進行檢查,即使惡意程式能夠潛入,通常都很快被移除。
- 注意應用程式要求獲得的權限和他們真的使用需要,對於有潛在危險的權限要求,不要害怕拒絕。
- 永遠不要透過電話交出機密資料,真的銀行職員永遠不會詢問網上銀行的登入憑證、PIN、信用卡保安碼或短訊上的確定碼,如果有疑問,前往銀行官方網頁,尋找員工可以和不能問的事項。
- 安裝可靠的保安方案保護裝置免受銀行木馬或其他惡意程式侵害
資料來源:Kaspersky Blog