威脅行為者利用安卓惡意軟件載荷實施精心策劃的社會工程學詐騙。移動安全專家Zimperium的研究人員表示，一種名為“FakeCall”的惡意軟件正誘騙安卓設備用戶交出敏感數據。

據Zimperium團隊介紹，“FakeCall”惡意軟件使威脅行為者能夠偽造來電的原始號碼并重定向撥出的電話。

這反過來又使攻擊者能夠偽裝成銀行或金融機構等合法組織，進行語音網絡釣魚(即“vishing”攻擊)。

Zimperium研究員費爾南多·奧爾特加解釋說：“‘FakeCall’是一種極其復雜的vishing攻擊，它利用惡意軟件幾乎完全控制移動設備，包括攔截來電和去電。”

“受害者被騙撥打由攻擊者控制的欺詐電話號碼，并在設備上模仿正常的用戶體驗。”

與大多數惡意軟件感染一樣，“FakeCall”載荷通過釣魚郵件中的鏈接到達。如果受害者點擊該鏈接，他們將被引導下載充當其他載荷釋放器的APK可執行文件。

這些載荷之一將已感染的安卓設備連接到命令和控制(C2)服務器。然后，C2服務器接收指令，上傳設備詳細信息以及聯系人和短信。

從那里，“FakeCall”惡意軟件能夠執行多項任務，包括監控設備、發送和接收消息，更重要的是，將自己設置為撥出電話和接收來電的默認方法。

這反過來又使攻擊者能夠有效地劫持被劫持設備上的任何撥出或接收的電話。攻擊者可以輕而易舉地冒充銀行、零售商甚至政府組織，以騙取用戶的個人信息和賬戶號碼。

有趣的是，研究人員注意到，“FakeCall”惡意軟件的最新版本包含藍牙和屏幕狀態監控等多項功能，但惡意軟件操作者尚未使用這些功能。

奧爾特加解釋說：“該惡意軟件包含從安卓輔助功能服務繼承的新服務，使其能夠顯著控制用戶界面，并捕獲屏幕上顯示的信息。”

“反編譯代碼顯示了以本機代碼實現的方法，如onAccessibilityEvent()和onCreate()，從而掩蓋了其具體的惡意意圖。”

建議安卓用戶仔細篩選電子郵件，避免點擊任何隨不請自來的消息附帶的鏈接。