Киберпреступники атакуют клиентов банков по всему миру с помощью изощренного вредоносного ПО PhantomCall

География атак является широкой, но при этом избирательной. В Южной Европе основное внимание злоумышленников приковано к Испании и Италии, также зафиксирована активность во Франции. В Северной Америке под удар попали клиенты известных финансовых учреждений в США и Канаде. На Ближнем Востоке волна атак была особенно концентрированной в Объединенных Арабских Эмиратах, а в Азии в качестве заметной цели выделяется Индия. Среди всех пострадавших регионов именно Испания и ОАЭ стали двумя наиболее атакуемыми странами. В ОАЭ всплеск активности пришелся на конец июня и июль, тогда как в Испании сохраняется стабильно высокий уровень атак с заметным увеличением с середины августа.

Расследование показало, что кампания использует поддельные приложения, маскирующиеся под Google Chrome, чтобы обманом заставить жертв установить вредоносный код. Эти приложения действуют как дропперы, позволяя зловреду обойти ограничения сервиса доступности в Android, которые были введены в версии 13 и которые ограничивают установку приложений из источников вне официального магазина Google Play.

Основная цель PhantomCall - проведение финансового мошенничества. Зловред позволяет атакующим инициировать fraudulent activity, тихо отправляя USSD-коды для перенаправления вызовов, одновременно злоупотребляя службой CallScreeningService для блокировки легитимных входящих звонков. Это эффективно изолирует жертв и позволяет злоумышленникам осуществлять имперсонацию. Эти возможности играют критическую роль в организации высокоэффективного финансового мошенничества, отрезая жертв от реальных каналов связи и позволяя атакующим действовать от их имени, не вызывая подозрений.

Эволюция угрозы в ответ на ужесточение безопасности Android демонстрирует высокую адаптивность киберпреступников. После выхода Android 13 Google ужесточил контроль над службами доступности, особенно для приложений, установленных извне официальных каналов. Эти изменения значительно усложнили для вредоносного ПО эксплуатацию accessibility API, которые были распространенным вектором для получения глубокого контроля над устройствами жертв. PhantomCall использует API PackageInstaller.Session для тихой установки своего вредоносного payload, обходя Restricted Settings в Android 13. Этот метод заменяет традиционное использование Intent.ACTION_INSTALL_PACKAGE и специально используется для имитации легитимного процесса установки, применяемого Play Store, что позволяет зловреду избегать ограничений уровня операционной системы.

Важно подчеркнуть, что эти вредоносные приложения почти никогда не происходят из Google Play Store, где проводится тщательная проверка с помощью автоматизированного и ручного анализа, поведенческого анализа и проверки репутации приложений. Вместо этого атакующие распространяют свои приложения через альтернативные каналы, такие как фишинговые веб-сайты, смс-фишинг, мошенническая реклама или сторонние магазины приложений, где проверка минимальна или отсутствует вовсе.

Маскируясь под иконку Google Chrome, дроппер PhantomCall обманывает пользователей, заставляя их доверять ему, в то время как его истинная цель - развертывание самого вредоносного ПО. Этот вариант Antidot является сложным и модульным, он активируется только после того, как пользователь включит службу доступности. Атакующий злоупотребляет WebView и мостом @JavascriptInterface для запуска поддельного запроса на обновление браузера. Когда пользователь нажимает «Обновить», вредоносный JavaScript вызывает нативный метод, который открывает настройки установки приложений из неизвестных источников для поддельного приложения Chrome. Этот метод социальной инженерии позволяет осуществить sideloading и облегчает установку вредоносного ПО.

После установки PhantomCall поддельный дроппер Chrome остается активным в фоновом режиме, чтобы отслеживать статус основной вредоносной нагрузки и гарантировать, что ее служба доступности включена. Каждый раз, когда дроппер возвращается на передний план, он повторно оценивает статус доступности PhantomCall, оказывая постоянное давление на пользователя, чтобы тот выполнил необходимые шаги для полной активации зловреда.

Функциональность мошенничества реализована с высокой степенью скрытности. PhantomCall использует API CallScreeningService для мониторинга входящих вызовов и их выборочной блокировки на основе динамически генерируемого списка телефонных номеров. Перехватывая и подавляя эти вызовы без их отображения на экране, логирования или уведомления пользователя, PhantomCall гарантирует, что жертва остается в неведении о любых попытках вмешательства. Это позволяет атакующим продлевать несанкционированный доступ, завершать мошеннические транзакции или задерживать обнаружение.

Злоупотребление функциональностью USSD становится очевидным в управлении списком команд, где наблюдаются операции «SendUssd» и «CallForward». Первая позволяет вредоносному ПО отправлять любой USSD-код, действительный для SIM-карты устройства и мобильного оператора, что открывает широкий спектр действий. Вторая специально используется для выполнения команды *21* для перенаправления входящих вызовов, что effectively hijacking их для наблюдения или мошенничества. Когда номер телефона предоставляется через общие настройки, вредоносное ПО автоматически перенаправляет все входящие звонки на этот номер. Это поведение явно указывает на намерение перехватить голосовую связь. Перенаправляя звонки, потенциально от банков, финансовых учреждений или правоохранительных органов, на контролируемые атакующими конечные точки, PhantomCall может перехватывать конфиденциальные разговоры, блокировать оповещения о мошенничестве и поддерживать беспрерывный доступ к финансовой активности жертвы. Эта тактика часто используется в банковском вредоносном ПО для задержки обнаружения и максимизации окна для эксплуатации.

PhantomCall наглядно демонстрирует, как мобильное банковское вредоносное ПО продолжает развиваться в ответ на ужесточение ландшафта безопасности Android. Маскируясь под поддельное приложение Chrome, зловред заманивает пользователей в ловушку с помощью социальной инженерии. Глобальный охват кампании, с заметной активностью в таких странах, как Испания и ОАЭ, подчеркивает хорошо скоординированную стратегию распространения, нацеленную на пользователей крупных финансовых учреждений в нескольких регионах. Активируя возможности, которые напрямую поддерживают мошенничество, включая тихую переадресацию вызовов на основе USSD и злоупотребление API CallScreeningService, угроза сочетает техническую изощренность с обманчивой доставкой, чтобы эксплуатировать доверие и сохранять контроль.

Для защиты эксперты рекомендуют пользователям регулярно проверять установленные приложения и немедленно удалять незнакомые или подозрительные программы. Также необходимо внимательно следить за своими электронными почтовыми ящиками на предмет необычной активности и тщательно контролировать криптовалютные кошельки на наличие несанкционированных транзакций. Проактивная осмотрительность может помочь снизить риски, связанные с этой развивающейся парадигмой атак.

SHA256

• cbe0994fcfbf017babc5bef567f6e3bb540293f2c1e4acb91e9b775008749e16