你好，是我”：FakeCalls木马程序模仿银行员工的电话通话

卡巴斯基研究人员在2021年1月发现的FakeCalls网银木马。调查过程中，他们发现，当受害者拨打银行的热线电话时，这种木马程序会打开一个假冒的通话屏幕，替换真正的银行通话屏幕。通话被截获后，有两种可能的情况。第一种情况，FakeCalls会直接联系网络罪犯，后者会假冒成银行的客服支持人员。在另一种情况下，木马程序会播放预先录制的音频，该音频模仿银行的标准问候语，并使用自动语音信箱模拟标准对话。

该木马程序会在通话过程中不时插入韩语的小音频片段。例如：“你好，感谢您致电我们银行。我们的呼叫中心目前呼叫量过大。咨询顾问将尽快接通您的来电”。这使网络犯罪分子能够获得受害者的信任，使他们相信这个通话是真实的。这类通话的主要目标是尽可能多地从受害者那里骗取重要信息，包括银行账户详情等。



在受害者试图拨打真正的银行电话号码时，木马会打开FakeCalls的通话屏幕

但是，使用这种木马程序的网络罪犯没有考虑到有些潜在受害者可能使用不同的界面语言，例如，有可能使用的是英语界面而非韩语界面。而Fakecall的通话界面只有韩语版，这意味着有些使用英语界面的用户可能会觉得可疑，从而发现威胁。

下载后，Fakecall应用程序会伪装成真正的银行应用，要求获得各种权限，如访问联系人、麦克风、摄像头、地理位置和处理来电。这些权限允许木马挂断来电并将其从设备的历史记录中删除，例如，当真正的银行试图联系客户时。Fakecall木马不仅能够控制来电，而且还能够对呼出的电话进行欺骗。如果网络罪犯想要联系受害者，木马会在系统上显示自己的呼叫屏幕，掩盖系统呼叫屏幕。因此，用户看不到网络罪犯使用的真实号码，而是木马显示的银行支持服务的电话号码。

由于欺诈者会尽力让受害者相信该应用程序是真实的，所以Fakecalls完全模仿了韩国知名银行的移动应用程序。他们在应用中插入了真正的银行标志，并显示银行官方网站主页上显示的真实支持号码。



这种木马程序模仿韩国最常用的银行的应用

“银行客户经常被告知要警惕欺诈者的来电。但是，当他们自己试图直接拨打银行的客户支持号码时，不会意料到这其中也存在危险。通常来说，我们信任银行的员工——我们会打电话给他们寻求帮助，因此我们可能会告诉他们或冒名顶替者任何要求提供的信息。制作Fakecalls的网络罪犯结合了两种危险的技术：网银木马和社交工程技术，因此，其受害者很容易损失钱财和个人数据。当下载新的手机银行应用程序时，请注意它请求的权限。如果下载的应用试图获得对设备控制的可疑的过度访问，包括呼叫处理访问，那么该应用程序很可能是网银木马，”卡巴斯基安全研究员Igor Golovin评论说。

请访问卡巴斯基日报阅读有关FakeCalls木马程序的完整报告。

为了避免您的资金或个人数据落入欺诈者手中，卡巴斯基建议：

·         仅从官方应用商店下载应用程序。不要允许从未知来源安装应用。官方商店会对所有应用程序进行检查，如果恶意软件确实设法潜入其中，通常会很快被移除。

·         注意应用程序要求的权限以及它们是否真的需要这些权限。不要害怕拒绝这些权限，特别是危险的权限如访问通话、短信以及无障碍功能等。

·         绝对不要通过电话透露任何机密信息。真正的银行员工绝不会通过短信询问您的网上银行登录凭证、密码、银行卡安全码或确认码。如果有疑问，可以去银行的官方网站，了解员工可以和不可以询问的内容。

·         安装一款能够保护您所有设备抵御网银木马和其他恶意软件的受信任的安全解决方案。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.