想像一下,當你想打給銀行客服時,另一端接電話的卻是駭客,這會是多麽可怕的一件事。美國行動安全公司 Zimperium 的研究團隊近期就釋出一份報告顯示,複雜的 Android 惡意軟體「FakeCall」現在能夠做到這件事。
Zimperium 團隊指出,「FakeCall」使用的是一種被稱為語音網路釣魚(vishing)的技術,目標是透過虛假的電話與語音訊息誘騙受害者洩漏信用卡號與銀行等敏感資訊。
研究人員解釋,「FakeCall」是一種極其複雜的語音釣魚攻擊,它利用惡意軟體幾乎完全控制行動裝置,包括攔截任何來電與撥話。受害者被誘騙撥打由攻擊者控制的欺詐電話號碼,還會模仿設備上的正常用戶體驗。
「FakeCall」攻擊的第一步是透過網路釣魚攻擊,欺騙受害者下載 APK 檔案,APK 充當植入程式,將惡意負載安裝到裝置中;在受害者安裝有效負載後,應用程式將提示用戶將其設定為預設手機撥話應用程式,如此一來這個應用程式就可管理來電與撥話。
接下來會發生什麼事?
- 身分詐欺:應用程式會利用其作為預設電話處理應用的優勢,可以修改撥打的號碼,透過「setResultData()」將其替換為惡意號碼,欺騙使用者進行詐欺性撥話。
- 劫持撥話:惡意軟體可以攔截和控制來電與撥話,秘密地進行未經授權的連接。在這種情況下,用戶可能不會意識到,直到刪除應用程式或重新啟動裝置。
(首圖來源:shutterstock)