新しい難読化の多くは、動的に復号化され読み込まれたアプリの .dex ファイル内に悪意のあるコードを隠した結果です。その結果、Zimperium は当初、分析している悪意のあるアプリはこれまで知られていなかったマルウェア ファミリの一部であると考えていました。次に研究者らは、感染したデバイスのメモリから .dex ファイルをダンプし、静的分析を実行しました。
「さらに深く掘り下げていくと、あるパターンが現れました」とオルテガ氏は書いている。 「サービス、レシーバー、アクティビティは、com.secure.assistant というパッケージ名を持つ古いマルウェア亜種のものとよく似ていました。」このパッケージにより、研究者はそれを FakeCall トロイの木馬にリンクすることができました。
新機能の多くはまだ完全には実装されていないようです。難読化の他に、次のような新機能があります。
Bluetoothレシーバー
この受信機は主にリスナーとして機能し、Bluetooth のステータスと変化を監視します。特に、ソース コードには悪意のある動作の即時の証拠はなく、将来の機能のプレースホルダーとして機能するかどうかについて疑問が生じています。
スクリーンレシーバー
Bluetooth レシーバーと同様に、このコンポーネントは、ソース コード内の悪意のあるアクティビティを明らかにすることなく、画面の状態 (オン/オフ) を監視するだけです。
アクセシビリティサービス
このマルウェアには、Android Accessibility Service から継承した新しいサービスが組み込まれており、ユーザー インターフェイスに対する大幅な制御と、画面に表示される情報をキャプチャする機能が許可されます。逆コンパイルされたコードには、次のようなメソッドが示されています。 onAccessibilityEvent() および onCreate() ネイティブ コードで実装され、特定の悪意のある意図が隠蔽されます。
提供されたコード スニペットは、ネイティブ コードで実装されたサービスのライフサイクル メソッドに焦点を当てていますが、マルウェアの以前のバージョンは、考えられる機能についての手掛かりを提供します。
- ダイヤラアクティビティの監視: サービスは、からのイベントを監視しているようです。 com.skt.prod.dialer パッケージ (ストック ダイヤラー アプリ) を使用すると、ユーザーがマルウェア自体以外のアプリを使用して電話をかけようとしたときを検出できる可能性があります。
- 自動許可付与: このサービスは、からの許可プロンプトを検出できるようです。 com.google.android.permissioncontroller (システム権限マネージャー) および com.android.systemui (システム UI)。特定のイベントを検出すると (例: TYPE_WINDOW_STATE_CHANGED)、ユーザーの同意をバイパスして、マルウェアに対するアクセス許可を自動的に付与できます。
- リモコン: このマルウェアにより、リモート攻撃者は被害者のデバイス UI を完全に制御できるようになり、クリック、ジェスチャー、アプリ間のナビゲーションなどのユーザー操作をシミュレートできるようになります。この機能により、攻撃者はデバイスを正確に操作できるようになります。
電話リスナーサービス
このサービスは、マルウェアとそのマルウェアの間のパイプ役として機能します。 コマンド アンド コントロール (C2) サーバーこれにより、攻撃者がコマンドを発行し、感染したデバイス上でアクションを実行できるようになります。前バージョンと同様に、新しい亜種は攻撃者に包括的な機能セットを提供します (以下の表を参照)。一部の機能はネイティブ コードに移行されていますが、その他は新たに追加されており、マルウェアがデバイスを侵害する能力をさらに強化しています。
カスペルスキーの2022年の投稿では、FakeCallがサポートしている言語は韓国語だけであり、このトロイの木馬は韓国の特定の銀行数行を標的にしているようだと述べた。昨年、セキュリティ企業ThreatFabricの研究者らは、このトロイの木馬は英語、日本語、中国語のサポートを開始したが、これらの言語を話す人々が実際に標的になった形跡はなかったと述べた。