Bankarski trojanac Fakecalls presreće pozive korisnika sa korisničkom podrškom banaka

Mobilni telefoni, 12.04.2022, 10:30 AM

Prošle godine pojavio se neobičan bankarski trojanac nazvan Fakecalls. Pored uobičajenih funkcija za špijuniranje, malver ima zanimljivu sposobnost da „razgovara“ sa žrtvom, tačnije da preuzme pozive na broj korisničke podrške banke i direktno poveže žrtvu sa sajber kriminalcima koji upravljaju malverom. Istraživači kompanije Kaspersky analizirali su Fakecalls a izveštaj o malveru objavljen je u ponedeljak.

Malver oponaša mobilne aplikacije za sada samo korejskih banaka, prikazujući logo banke i broj korisničke podrške odgovarajuće banke na ekranu. Čini se da su brojevi telefona koje prikazuje malver pravi. Na primer, broj 1599-3333 može se naći na glavnoj stranici zvaničnog veb sajta KakaoBanke.

Kada se instalira, trojanac odmah zahteva čitav niz dozvola, uključujući pristup kontaktima, mikrofonu i kameri, geolokaciji, rukovanje pozivima itd.

Kada žrtva pokuša da pozove banku, malver diskretno prekida vezu i otvara sopstveni ekran lažnog poziva koji se gotovo ne razlikuje od pravog. Iako žrtva vidi pravi broj banke na ekranu, veza je sa sajber kriminalcima, koji se mogu predstavljati kao predstavnici korisničke podrške banke i od žrtve dobiti podatke koji im mogu omogućiti pristup sredstvima na računu.

Jedina stvar koja bi u ovoj fazi mogla odati trojanca je ekran lažnog poziva. Lažni pozivi imaju samo jedan jezik interfejsa: korejski. To znači da ako se na telefonu odabere drugi sistemski jezik, recimo engleski, žrtva će možda primetiti da nešto nije u redu.

Nakon što je poziv presretnut, postoje dva moguća scenarija. U prvom, lažni poziv povezuje žrtvu direktno sa sajber kriminalcima, pošto aplikacija ima dozvolu da upućuje odlazne pozive. U drugom, trojanac pušta unapred snimljeni zvuk imitirajući standardni pozdrav iz banke.

Kako bi trojanac imao realističan dijalog sa žrtvom, sajber kriminalci su snimili nekoliko fraza na korejskom, koje obično izgovaraju zaposleni govorne pošte ili call centra. Na primer, žrtva može čuti nešto poput ovoga: „Zdravo. Hvala vam što ste pozvali KakaoBank. Naš pozivni centar trenutno prima neuobičajeno veliki broj poziva. Konsultant će razgovarati sa vama što je pre moguće. Da bismo poboljšali kvalitet usluge, razgovor će biti snimljen.” Ili: „Dobro došli u Kookmin banku. Vaš razgovor će biti snimljen. Sada ćemo vas povezati sa operaterom.”

Nakon toga, napadači, predstavljajući se kao službenik banke, mogu pokušati da izvuku podatke o plaćanju ili druge poverljive informacije od žrtve.

Pored odlaznih poziva, trojanac može lažirati i dolazne pozive. Kada sajber kriminalci žele da kontaktiraju žrtvu, trojanac prikazuje sopstveni ekran preko sistemskog. Korisnik ne vidi pravi broj koji koriste sajber kriminalci, već onaj koji prikazuje trojanac, a to je telefonski broj službe za podršku banke.

Pored oponašanja korisničke podrške, Fakecalls ima karakteristike tipične za bankarske trojance. Na primer, na komandu napadača, malver može da uključi mikrofon žrtvinog telefona i pošalje snimke sa njega na njihov server, kao i da tajno emituje audio i video sa telefona u realnom vremenu.

Ali to nije sve. S obzirom na dozvole koje je trojanac tražio tokom instalacije, sajber kriminalci mogu da ih koriste da utvrde lokaciju uređaja, kopiraju listu kontakata i fajlove (uključujući fotografije i video snimke) sa telefona na svoj server i pristupe istoriji poziva i poruka.

Ove dozvole omogućavaju malveru ne samo da špijunira korisnika, već i da kontroliše njegov uređaj u određenoj meri, dajući mu mogućnost da odbaci dolazne pozive i izbriše ih iz istorije. Ovo omogućava prevarantima, između ostalog, da blokiraju i sakriju stvarne pozive iz banaka.

Fakecalls se pojavio prošle godine u Južnoj Koreji, ciljajući klijente popularnih banaka kao što su KakaoBank ili Kookmin Bank. Iako je bio aktivan neko vreme, malver je dobio malo pažnje verovatno zbog toga što je bio aktivan samo u Južnoj Koreji. Ipak, njegova funkcija lažnog poziva je novi korak u razvoju mobilnih bankarskih malvera, smatraju istraživači kompanije Kaspersky.

Da biste sprečili da vaši lični podaci i novac završe u rukama sajber kriminalaca, Kaspersky vam savetuje da:

→ Aplikacije preuzimate samo iz zvaničnih prodavnica i ne dozvoljavate instaliranje iz nepoznatih izvora. Zvanične prodavnice proveravaju aplikacije, pa čak i ako se malver nekako ušunja u prodavnicu, obično brzo biva uklonjen.

→ Obratite pažnju na dozvole koje traže aplikacije i da li su im zaista potrebne. Nemojte se plašiti da odbijete dozvole, posebno one potencijalno opasne poput pristupa pozivima, porukama, uslugama pristupačnosti itd.

→ Nikada ne dajte poverljive informacije preko telefona. Zaposleni u banci nikada neće tražiti vaše podatke za prijavu za internet bankarstvo, PIN, sigurnosni kod kartice ili kodove za potvrdu iz poruka. Ako ste u nedoumici, idite na zvanični veb sajt banke i saznajte šta zaposleni mogu, a šta ne mogu pitati.

→ Instalirajte pouzdano rešenje za zaštitu.