Bankarski trojanac Fakecalls presreće pozive korisnika sa korisničkom podrškom banaka

Mobilni telefoni, 12.04.2022, 10:30 AM

Bankarski trojanac Fakecalls presreće pozive korisnika sa korisničkom podrškom banaka

Prošle godine pojavio se neobičan bankarski trojanac nazvan Fakecalls. Pored uobičajenih funkcija za špijuniranje, malver ima zanimljivu sposobnost da „razgovara“ sa žrtvom, tačnije da preuzme pozive na broj korisničke podrške banke i direktno poveže žrtvu sa sajber kriminalcima koji upravljaju malverom. Istraživači kompanije Kaspersky analizirali su Fakecalls a izveštaj o malveru objavljen je u ponedeljak.

Malver oponaša mobilne aplikacije za sada samo korejskih banaka, prikazujući logo banke i broj korisničke podrške odgovarajuće banke na ekranu. Čini se da su brojevi telefona koje prikazuje malver pravi. Na primer, broj 1599-3333 može se naći na glavnoj stranici zvaničnog veb sajta KakaoBanke.

Kada se instalira, trojanac odmah zahteva čitav niz dozvola, uključujući pristup kontaktima, mikrofonu i kameri, geolokaciji, rukovanje pozivima itd.

Kada žrtva pokuša da pozove banku, malver diskretno prekida vezu i otvara sopstveni ekran lažnog poziva koji se gotovo ne razlikuje od pravog. Iako žrtva vidi pravi broj banke na ekranu, veza je sa sajber kriminalcima, koji se mogu predstavljati kao predstavnici korisničke podrške banke i od žrtve dobiti podatke koji im mogu omogućiti pristup sredstvima na računu.

Jedina stvar koja bi u ovoj fazi mogla odati trojanca je ekran lažnog poziva. Lažni pozivi imaju samo jedan jezik interfejsa: korejski. To znači da ako se na telefonu odabere drugi sistemski jezik, recimo engleski, žrtva će možda primetiti da nešto nije u redu.

Nakon što je poziv presretnut, postoje dva moguća scenarija. U prvom, lažni poziv povezuje žrtvu direktno sa sajber kriminalcima, pošto aplikacija ima dozvolu da upućuje odlazne pozive. U drugom, trojanac pušta unapred snimljeni zvuk imitirajući standardni pozdrav iz banke.

Kako bi trojanac imao realističan dijalog sa žrtvom, sajber kriminalci su snimili nekoliko fraza na korejskom, koje obično izgovaraju zaposleni govorne pošte ili call centra. Na primer, žrtva može čuti nešto poput ovoga: „Zdravo. Hvala vam što ste pozvali KakaoBank. Naš pozivni centar trenutno prima neuobičajeno veliki broj poziva. Konsultant će razgovarati sa vama što je pre moguće. Da bismo poboljšali kvalitet usluge, razgovor će biti snimljen.” Ili: „Dobro došli u Kookmin banku. Vaš razgovor će biti snimljen. Sada ćemo vas povezati sa operaterom.”

Nakon toga, napadači, predstavljajući se kao službenik banke, mogu pokušati da izvuku podatke o plaćanju ili druge poverljive informacije od žrtve.

Pored odlaznih poziva, trojanac može lažirati i dolazne pozive. Kada sajber kriminalci žele da kontaktiraju žrtvu, trojanac prikazuje sopstveni ekran preko sistemskog. Korisnik ne vidi pravi broj koji koriste sajber kriminalci, već onaj koji prikazuje trojanac, a to je telefonski broj službe za podršku banke.

Pored oponašanja korisničke podrške, Fakecalls ima karakteristike tipične za bankarske trojance. Na primer, na komandu napadača, malver može da uključi mikrofon žrtvinog telefona i pošalje snimke sa njega na njihov server, kao i da tajno emituje audio i video sa telefona u realnom vremenu.

Ali to nije sve. S obzirom na dozvole koje je trojanac tražio tokom instalacije, sajber kriminalci mogu da ih koriste da utvrde lokaciju uređaja, kopiraju listu kontakata i fajlove (uključujući fotografije i video snimke) sa telefona na svoj server i pristupe istoriji poziva i poruka.

Ove dozvole omogućavaju malveru ne samo da špijunira korisnika, već i da kontroliše njegov uređaj u određenoj meri, dajući mu mogućnost da odbaci dolazne pozive i izbriše ih iz istorije. Ovo omogućava prevarantima, između ostalog, da blokiraju i sakriju stvarne pozive iz banaka.

Fakecalls se pojavio prošle godine u Južnoj Koreji, ciljajući klijente popularnih banaka kao što su KakaoBank ili Kookmin Bank. Iako je bio aktivan neko vreme, malver je dobio malo pažnje verovatno zbog toga što je bio aktivan samo u Južnoj Koreji. Ipak, njegova funkcija lažnog poziva je novi korak u razvoju mobilnih bankarskih malvera, smatraju istraživači kompanije Kaspersky.

Da biste sprečili da vaši lični podaci i novac završe u rukama sajber kriminalaca, Kaspersky vam savetuje da:

→ Aplikacije preuzimate samo iz zvaničnih prodavnica i ne dozvoljavate instaliranje iz nepoznatih izvora. Zvanične prodavnice proveravaju aplikacije, pa čak i ako se malver nekako ušunja u prodavnicu, obično brzo biva uklonjen.

→ Obratite pažnju na dozvole koje traže aplikacije i da li su im zaista potrebne. Nemojte se plašiti da odbijete dozvole, posebno one potencijalno opasne poput pristupa pozivima, porukama, uslugama pristupačnosti itd.

→ Nikada ne dajte poverljive informacije preko telefona. Zaposleni u banci nikada neće tražiti vaše podatke za prijavu za internet bankarstvo, PIN, sigurnosni kod kartice ili kodove za potvrdu iz poruka. Ako ste u nedoumici, idite na zvanični veb sajt banke i saznajte šta zaposleni mogu, a šta ne mogu pitati.

→ Instalirajte pouzdano rešenje za zaštitu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Na Google Play pronađeno više od 200 aplikacija koje kradu lozinke za Facebook

Analitičari malvera iz kompanije Trend Micro pronašli su u Google Play prodavnici više od 200 Android aplikacija u kojima je sakriven špijunski ma... Dalje

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Hakeri mogu instalirati malver na iPhoneu i kada je isključen

Bluetooth, NFC i UWB ostaju uključeni čak i kada je iPhone isključen, što bi moglo omogućiti napadačima da pokrenu prethodno učitani malver. H... Dalje

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google će zbog bezbednosti iz Play prodavnice izbaciti skoro 900.000 zastarelih aplikacija

Google planira da ukloni skoro 900.000 „napuštenih" aplikacija iz Google Play prodavnice. Zbog nedavne promene smernica Play prodavnice, Androi... Dalje

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Korisnici Google Chromea za Android u Rusiji ne mogu da ažuriraju pregledač

Sve veći broj korisnika Google Chromea za Android u Rusiji prijavljuje greške kada pokušaju da instaliraju najnovije ažuriranje za Googleov veb p... Dalje

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google Chrome će štititi vaše platne kartice virtuelnim brojevima kartica

Google je najavio da će dodati novu funkciju Chromeovom sistemu automatskog popunjavanja pod nazivom Virtuelni brojevi kartica, koja će vam omoguc... Dalje