Công ty an ninh mạng Check Point cho biết: Phần mềm độc hại FakeCalls sở hữu chức năng của một "Swiss army knife" (con dao quân đội Thụy Sĩ), nó không chỉ thực hiện mục tiêu chính mà còn trích xuất dữ liệu riêng tư từ thiết bị của nạn nhân. FakeCalls trước đó đã được Kaspersky phát hiện vào tháng 4/2022 và được mô tả với khả năng bắt chước cuộc trò chuyện qua điện thoại với nhân viên hỗ trợ khách hàng của ngân hàng.

Các chuyên gia quan sát thấy rằng trong các cuộc tấn công, khi người dùng cài đặt ứng dụng ngân hàng lừa đảo thì sẽ bị dụ dỗ gọi điện cho một tổ chức tài chính thông qua việc chúng sẽ cung cấp một khoản vay lãi suất thấp giả mạo. Tại thời điểm cuộc điện thoại thực sự diễn ra, một âm thanh được ghi sẵn với hướng dẫn từ ngân hàng sẽ được phát. Đồng thời, phần mềm độc hại che giấu số điện thoại bằng số hợp pháp của ngân hàng để tạo ấn tượng rằng cuộc trò chuyện đang diễn ra với một nhân viên ngân hàng thực tế ở đầu bên kia.

Mục tiêu cuối cùng của chiến dịch là lấy cắp thông tin thẻ tín dụng của nạn nhân, đây là thông tin mà những tin tặc yêu cầu cung cấp để đủ điều kiện cho khoản vay lừa đảo được đưa ra trước đó. Ứng dụng độc hại cũng sẽ yêu cầu các quyền truy cập để thu thập dự liệu nhạy cảm, bao gồm âm thanh và video trực tiếp từ thiết bị bị xâm nhập, sau đó dữ liệu này sẽ được trích xuất đến một máy chủ từ xa.

Các mẫu FakeCalls mới nhất tiếp tục triển khai nhiều kỹ thuật khác nhau, một trong số đó là phương pháp thêm một số lượng lớn tệp bên trong các thư mục nội dung của android package kit (APK), khiến độ dài của tên tệp và đường dẫn vượt quá giới hạn 300 ký tự. Check Point cho biết: “Các tin tặc đã triển khai một số kỹ thuật giúp cho Fakecalls chống bị phân tích một cách hiệu quả. Ngoài ra, chúng đã tạo ra một số cơ chế để ngụy trang trước các hoạt động kiểm soát của máy chủ”.

Quy trình thực hiện lừa đảo bằng Fakecalls

Tuy hiện nay cuộc tấn công chỉ tập trung vào Hàn Quốc nhưng công ty an ninh mạng đã cảnh báo rằng các chiến thuật tương tự có thể được tái sử dụng để nhắm mục tiêu vào các khu vực khác trên thế giới. Bên cạnh đó, Cyble cũng làm sáng tỏ và đưa ra hai trojan ngân hàng trên Android có tên là Nexus và GoatRAT có thể thu thập dữ liệu có giá trị và thực hiện gian lận tài chính.

Nexus, một phiên bản SOVA được đổi thương hiệu, cũng tích hợp một mô-đun mã độc tống tiền mã hóa các tệp được lưu trữ và có thể lạm dụng các dịch vụ trợ năng của Android để trích xuất các thông tin gốc từ ví tiền điện tử. Ngược lại, GoatRAT được thiết kế để nhắm mục tiêu vào các ngân hàng Brazil và tham gia cùng với BrasDex và PixPirate để thực hiện chuyển tiền gian lận qua nền tảng thanh toán PIX trong khi hiển thị "fake overlay window" để che giấu hoạt động.

Các ứng dụng này là một phần của xu hướng đang phát triển, trong đó các tác nhân đe dọa đã phát tán phần mềm độc hại ngân hàng ngày càng tinh vi để tự động hóa toàn bộ quá trình chuyển tiền trái phép trên các thiết bị bị nhiễm. Công ty an ninh mạng Kaspersky cho biết họ đã phát hiện 196.476 trojan ngân hàng và 10.543 trojan mã độc tống tiền trên thiết bị di động mới vào năm 2022, trong đó Trung Quốc, Syria, Iran, Yemen và Iraq là những quốc gia hàng đầu bị phần mềm độc hại trên thiết bị di động này tấn công, bao gồm cả phần mềm quảng cáo.

Tây Ban Nha, Ả Rập Saudi, Úc, Thổ Nhĩ Kỳ, Trung Quốc, Thụy Sĩ, Nhật Bản, Colombia, Ý và Ấn Độ dẫn đầu danh sách các quốc gia hàng đầu bị nhiễm các mối đe dọa tài chính trên thiết bị di động. Nhà nghiên cứu Tatyana Shishkova của Kaspersky cho biết: "Mặc dù tổng số người cài đặt phần mềm độc hại đã giảm, nhưng sự gia tăng liên tục của trojan ngân hàng là một dấu hiệu rõ ràng cho thấy tội phạm mạng đang tập trung vào lợi ích tài chính".