Fakecalls — говорящий банковский троян

Троян, который маскируется под банковское приложение и имитирует телефонное общение с сотрудниками банка.

Банковский троян Fakecalls умеет подделывать звонки

Злоумышленники постоянно создают все более изощренные вредоносные программы. В прошлом году появился необычный банковский троян, который получил название Fakecalls. Помимо привычных шпионских функций он обладает интересной особенностью — умеет «разговаривать» с жертвой от лица сотрудников банка. Информации о Fakecalls в интернете не так уж много, поэтому мы решили рассказать о том, на что этот троян способен.

Маскировка трояна

Fakecalls маскируется под мобильные приложения популярных корейских банков, например KB (Kookmin Bank) или KakaoBank. Интересно, что помимо привычных логотипов создатели трояна добавили на экран Fakecalls номера служб поддержки соответствующих банков. Причем эти телефоны, судя по всему, действительно принадлежат банкам. Как минимум номер 1599-3333 можно обнаружить прямо на главной странице сайта KakaoBank.

Троян имитирует банковские приложения KB (слева) и KakaoBank (справа)

Троян имитирует банковские приложения KB (слева) и KakaoBank (справа)

Сразу после установки троян запрашивает целый список разрешений, в том числе на доступ к контактам, микрофону и камере, определение геопозиции, управление звонками и так далее.

Звонок в банк

В отличие от других банковских троянов, Fakecalls умеет имитировать разговор со службой поддержки. Если пользователь звонит на горячую линию банка, троян незаметно прерывает соединение и вместо штатного приложения «Телефон» открывает собственный поддельный экран звонка. Жертва думает, что вызов продолжается, но на самом деле его уже контролируют злоумышленники.

Единственное, что способно выдать троян на этом этапе, — надписи на поддельном экране вызова. У Fakecalls есть только один язык интерфейса — корейский. А значит, если на телефоне выбран какой-то другой язык системы, например английский, жертва может заподозрить неладное.

Экран штатного приложения

Экран штатного приложения «Телефон» (слева) и поддельный экран звонка, который выводит троян Fakecalls (справа)

После того как вызов был перехвачен, возможны два сценария. В первом Fakecalls соединяет жертву напрямую со злоумышленниками — ведь разрешение на исходящие звонки у приложения есть. Во втором троян включает заготовленные аудиозаписи, имитирующие приветствие клиента при звонке в банк.

Чтобы троян мог «поддерживать» диалог с жертвой, преступники записали несколько фраз, которые обычно используют для автоответчиков и говорят сотрудники в кол-центрах. Например, в качестве приветствия можно услышать что-то вроде: «Здравствуйте! Вы позвонили в KakaoBank. В настоящее время в центр обслуживания поступает много обращений, поэтому консультант может ответить не сразу. <...> Для улучшения качества обслуживания разговор будет записан». Или такое: «Это национальный банк KB. Разговор будет записан. Сейчас мы соединим вас с оператором».

Часть кода трояна Fakecalls, которая отвечает за включение заготовленных реплик при исходящем звонке

Часть кода трояна Fakecalls, которая отвечает за включение заготовленных реплик при исходящем звонке

После этого злоумышленники под видом банковских работников могут попытаться выманить платежные данные или другую конфиденциальную информацию.

Кроме исходящих вызовов Fakecalls может подменять и входящие звонки. Когда преступники хотят связаться с жертвой, троян выводит свой экран поверх системного. В результате пользователь видит не настоящий номер злоумышленников, а тот, что показывает троян, — например, телефон службы поддержки банка.

Шпионский арсенал зловреда

Помимо возможности подделывать разговор с сотрудником банка, у Fakecalls есть и более привычные для банковских троянов возможности. Например, по команде злоумышленников зловред может включать микрофон и отправлять записи с него на их сервер, а также скрытно вести аудио- и видеотрансляцию с телефона в режиме реального времени.

Но и это еще не все. Помните о разрешениях, которые запрашивает троян при установке? С их помощью злоумышленники могут узнать местоположение устройства, скопировать с телефона себе на сервер список контактов или любой файл, включая фотографии и видео, а также получить доступ к SMS и истории звонков.

Полученные разрешения позволяют зловреду не только шпионить за пользователем, но и управлять устройством: в трояне имеется функциональность для сброса входящих звонков и удаления записей о них из истории. Таким способом мошенники могут, например, заблокировать и скрыть входящие звонки от настоящих сотрудников банка.

Защитные решения «Лаборатории Касперского» детектируют описанный зловред с вердиктом Trojan-Banker.AndroidOS.Fakecalls и защищают устройство пользователя от него.

Как защититься

Чтобы ваши деньги и личные данные не оказались в руках преступников, следуйте простым рекомендациям:

  • Скачивайте приложения только из официальных магазинов и не разрешайте установку из неизвестных источников. Официальные площадки борются с распространением вредоносного ПО и проверяют все программы, а если зловред все же пробирается в магазин, оперативно его удаляют.
  • Обращайте внимание на то, какие разрешения запрашивает приложение и зачем они ему нужны. Не бойтесь отказывать приложениям в доступе, особенно к опасным вещам, таким как телефонные звонки, SMS, специальные возможности и так далее.
  • Никогда не сообщайте по телефону конфиденциальные данные. Настоящие сотрудники банка не станут просить вас продиктовать логин и пароль от онлайн-банка, ПИН, код с обратной стороны карты или коды подтверждения из SMS. Если вы не уверены, зайдите на официальный сайт организации и уточните, о чем сотрудник банка может у вас спросить, а о чем нет.
  • Установите надежное решение, которое защитит ваши устройства от банковских троянов и других зловредов.
Советы