FakeCall Malware IOCs

Исследователи из компании Zimperium обнаружили новый вариант вредоносной программы FakeCall, которая использует метод голосового фишинга (vishing), чтобы обманом заставить пользователей раскрыть конфиденциальную информацию, включая учетные данные для входа в систему и банковские реквизиты. Эта вредоносная программа является частью более широкой тенденции, известной как «Mishing» - фишинговые методы, специально нацеленные на мобильные функции, такие как звонки, SMS и QR-коды.

FakeCall Malware

FakeCall - очень сложная программа, способная перехватывать и контролировать звонки на устройстве жертвы. Атака начинается, когда пользователь неосознанно загружает APK с вредоносным ПО. После активации FakeCall связывается с командно-контрольным (C2) сервером, позволяя злоумышленникам отдавать удаленные команды зараженному устройству. Функционирование вредоносной программы обеспечивается такими сервисами, как Accessibility, который отслеживает взаимодействие с пользователем, и Phone Listener, который выступает в качестве канала связи между устройством и сервером C2.

Наш анализ показал, что FakeCall использует сложную обфускацию и архитектуру файлов .dex, что затрудняет обнаружение. Среди новых функций - Bluetooth и Screen Receivers, которые отслеживают состояние Bluetooth и включение/выключение экрана, хотя их назначение неясно. Особое беспокойство вызывает способность вредоносной программы левереджировать службу доступности Android, поскольку она может автоматически предоставлять разрешения, манипулировать пользовательским интерфейсом и отслеживать активность дозвона, облегчая злоумышленникам удаленный контроль над устройством.

Когда FakeCall устанавливается в качестве обработчика вызовов по умолчанию, он перехватывает все звонки, отображая поддельный интерфейс, имитирующий дозвон на Android. Это позволяет вредоносной программе перенаправлять легитимные звонки, например, на мошеннический номер, обманывая пользователя, заставляя его думать, что он разговаривает с доверенным лицом, например, со своим банком. Такая манипуляция делает пользователей уязвимыми для кражи личных данных и финансового мошенничества, поскольку злоумышленники получают несанкционированный доступ к конфиденциальной информации.

Indicators of Compromise

Domains

• allcallpush01.com
• allcallpush02.com
• allcallpush09.com
• allcallpush12.com
• allcallpush15.com
• chaowen000.com
• chaowen006.com
• chaowen105.com
• ending052.com
• tewen006.com
• tewen007.com
• vipyaooba.com
• wending015.com

SHA256

• 099fce4dd0f15f591f59d9e39d68c669c7ec4e421c113d86605626318e4751b5
• 2629eaf1a4477638d44797d3eab9bba1b40aeb3dfd46462813923a3ca149ff28
• 2bb50b25ecf6263514bf1922967cb93e4768f96485ee3d9f9bb6417c950cc1c7
• 473afda00aaf2bbff5d7c9aaa5933ba5f201b469b8546932c60119b1cf40471b
• 543734a2bb06d0433283a3b49d48f38b7ed500af82b47209a6087090bf1796cc
• 5daac96d677763c6e4b802501d56251960cc38f2e74fe81e8cf921672aa57c3b
• 71073653f9992633dfbb38550cd196a7f201a8da6bea6ef88173ee2817ba023e
• 9d39ace2806389638878646a90af23c716ad9f2c6d142f91f321b2324cbc2e6e
• baad3941f6e291aa8288ceb9f72c06c3d3fd802e89865777832f20bd5127e4fd
• c1d412b16811f0698dec4276f9ce6f92774e0dd8eb22ffcd386b0341312ef8a5
• ce154ff877691c22380cc0e67979f8d9f3ab59986b66c7b03bdab36805cfef8e
• d1b6ba52a08cc1eb508cb4abd236a27f5fa4d2299718485969b179cd70ffc072
• f886026ae6b194440eb135329bc9c6b56218560303207bd3ca45134cc6e66eeb
• fabdf6f305ed33293ffaac8651657426a6fa4a5bba79d95bf6b3ff481e9e6400
• fbdce3dd097f4a01814a14fa0e37c0e9a7618c0801adffb7c4dbd2e6927c220f