Malware Android ‘FakeCalls’ beredar lagi di Korea Selatan, meniru panggilan telepon untuk lebih dari 20 organisasi keuangan dan mencoba menipu bankir agar memberikan rincian kartu kredit mereka.
Malware tertentu bukanlah hal baru, karena Kaspersky menerbitkan laporan tentangnya tahun lalu. Namun, peneliti Check Point sekarang melaporkan bahwa versi yang lebih baru telah menerapkan beberapa mekanisme penghindaran yang tidak terlihat pada sampel sebelumnya.
“Kami menemukan lebih dari 2.500 sampel malware FakeCalls yang menggunakan berbagai kombinasi organisasi keuangan yang ditiru dan menerapkan teknik anti-analisis,” baca Laporan CheckPoint.
“Pengembang malware memberi perhatian khusus pada perlindungan malware mereka, menggunakan beberapa penghindaran unik yang belum pernah kami lihat sebelumnya di alam liar.”
Phishing suara
Langkah pertama serangan adalah penginstalan malware di perangkat korban, yang mungkin terjadi melalui phishing, black SEO, atau malvertizing.
Malware FakeCalls didistribusikan pada aplikasi perbankan palsu yang menyamar sebagai lembaga keuangan besar di Korea, sehingga korban mengira mereka menggunakan aplikasi yang sah dari vendor yang dapat dipercaya.
Serangan dimulai dengan aplikasi yang menawarkan target pinjaman dengan tingkat bunga rendah. Setelah korban tertarik, malware memulai panggilan telepon yang memutar rekaman dari dukungan pelanggan nyata bank dengan instruksi untuk mendapatkan persetujuan permintaan pinjaman.
Namun, malware dapat menutupi nomor yang dipanggil, milik penyerang, dan sebagai gantinya menampilkan nomor asli bank yang ditiru, membuat percakapan tampak realistis.
Pada titik tertentu, korban ditipu untuk mengonfirmasi detail kartu kredit mereka, yang seharusnya diperlukan untuk menerima pinjaman, yang kemudian dicuri oleh penyerang.
Selain proses vishing, FakeCalls dapat menangkap streaming audio dan video langsung dari perangkat yang disusupi, yang dapat membantu penyerang mengumpulkan informasi tambahan.
Menghindari deteksi
Dalam sampel terbaru yang diambil dan dianalisis oleh para peneliti CheckPoint, FakeCalls menggabungkan tiga teknik baru yang membantu menghindari deteksi.
Mekanisme pertama disebut ‘multi-disk’, yang melibatkan manipulasi data header ZIP dari file APK (paket Android), menyetel nilai tinggi yang tidak normal untuk catatan EOCD untuk membingungkan alat analisis otomatis.
Teknik penghindaran kedua melibatkan manipulasi file AndroidManifest.xml untuk membuat penanda awalnya tidak dapat dibedakan, memodifikasi struktur string dan gaya, dan mengutak-atik offset string terakhir untuk menyebabkan interpretasi yang salah.
Terakhir, metode penghindaran ketiga adalah menambahkan banyak file di dalam direktori bersarang di folder aset APK, sehingga nama dan jalur file melebihi 300 karakter. Check Point mengatakan ini dapat menyebabkan masalah untuk beberapa alat keamanan, menyebabkan mereka gagal mendeteksi malware.
Masalah yang mahal
Menurut pemerintah Korea Selatan statistikvishing (voice phishing) adalah masalah yang menelan korban di negara $600 juta pada tahun 2020 saja, sementara ada 170.000 korban yang dilaporkan antara tahun 2016 dan 2020.
Sementara FakeCalls tetap berada di Korea Selatan, malware dapat dengan mudah memperluas operasinya ke wilayah lain jika pengembang atau afiliasinya mengembangkan kit bahasa dan overlay aplikasi baru untuk menargetkan bank di berbagai negara.
Vishing selalu menjadi masalah yang mengerikan, tetapi munculnya model ucapan pembelajaran mesin yang dapat menghasilkan ucapan alami dan meniru suara orang sungguhan dengan input data pelatihan minimal siap untuk memperbesar ancaman dalam waktu dekat.
