新型安卓金融欺诈木马FakeCall的演变

研究人员发现了一种新型的安卓金融欺诈木马FakeCall，该木马以其能够拦截受害者拨打银行客服电话的能力而著称。FakeCall首次引起公众关注是在2022年，当时卡巴斯基的研究人员报告称，这款恶意应用程序并非普通的银行木马。除了具备窃取账户凭证的常见功能外，FakeCall还能将语音通话重定向到攻击者控制的号码。

策略性演变

该恶意软件通过伪装成Google Play的网站传播，并且能够模拟银行员工的来电。这一新功能的目的是让受害者误以为一切正常，从而更有效地通过社交工程手段诱骗他们泄露账户凭证。当受害者在安装过程中按照指示授予应用程序成为安卓设备默认通话处理程序的权限后，FakeCall就能够检测到拨打银行合法客服号码的电话，并将其重定向到攻击者控制的号码。为了更好地隐藏这一操作，木马可以在系统屏幕上显示自己的界面。

新变种发现

移动安全公司Zimperium的研究人员报告称，发现了该恶意软件的13个新变种。这些新变种虽然经过了大量混淆，但仍然与早期版本的特征保持一致。这表明攻击者继续加大了对该木马的投资。新的混淆技术主要是将恶意代码隐藏在动态解密和加载的.dex文件中，这使得Zimperium最初认为他们分析的恶意应用程序属于一个未知的恶意软件家族。

新功能

尽管许多新功能尚未完全实现，但以下是一些值得注意的新增功能：

蓝牙接收器

该接收器主要作为监听器，监控蓝牙状态和变化。目前没有在源代码中发现恶意行为的直接证据，因此尚不清楚它是否是为未来功能预留的占位符。

屏幕接收器

与蓝牙接收器类似，该组件仅监控屏幕的状态（开/关），源代码中未显示任何恶意活动。

无障碍服务

该恶意软件新增了一个继承自安卓无障碍服务的服务，使其能够显著控制用户界面并捕获屏幕上显示的信息。反编译代码显示，诸如onAccessibilityEvent()和onCreate()等方法在本地代码中实现，掩盖了其具体的恶意意图。

电话监听服务

该服务充当恶意软件与其命令与控制（C2）服务器之间的桥梁，允许攻击者发出命令并在受感染设备上执行操作。与之前版本相比，新变种将部分功能移至本地代码，同时新增了一些功能，进一步增强了恶意软件的破坏能力。

语言支持与目标

卡巴斯基2022年的报告指出，FakeCall仅支持韩语，并且似乎针对韩国的几家特定银行。去年，安全公司ThreatFabric的研究人员表示，该木马已开始支持英语、日语和中文，但没有迹象表明这些语言的用户实际上成为了目标。

防范建议

用户在安装任何移动应用程序时都应三思，尤其是安卓设备，这些设备多年来一直是木马的常见目标。与金融机构相关的应用程序应受到更严格的审查。安卓用户还应确保启用Play Protect，这是谷歌提供的一项服务，用于扫描设备上的恶意应用程序，无论这些应用程序是从Play商店还是第三方获取的。

Zimperium已在此处发布了危害指标。