✅ レポートタイトル：HeadCallsの詳細分析：韓国の公的機関および金融機関を装った攻撃手法

S2W脅威インテリジェンスセンター「TALON」は、2025年8月21日から国内モバイルユーザーを対象として新たなタイプのボイスフィッシング悪性アプリが拡散されていることを確認し、分析を実施しました。

✅ レポートの要約：

- ボイスフィッシング組織は金銭窃取を目的としてフィッシングページを構築し、ユーザーを誘導してAndroid悪性アプリをインストールさせる手口を使用します。

- 本悪性アプリの核心機能は「強制受信・強制発信」であり、被害者が捜査機関や金融機関に電話しても攻撃者へ強制接続され、またこれらの機関から被害者へ着信があっても攻撃者と接続されるように動作します。

- S2W脅威インテリジェンスセンター「TALON」は、通話権限が無い場合にHEADSETHOOK（ヘッドセット通話ボタン）イベントを利用して通話を切断する特徴を基に、本悪性アプリをHeadCalls LoaderおよびHeadCallsと命名しました。

- 攻撃者は韓国消費者院、庶民金融振興院、金融会社を装ったフィッシングページを構築し、悪性アプリのダウンロードを誘導しました。

- フィッシングページからダウンロードされるアプリはHeadCalls Loaderであり、Accessibility Serviceを悪用してHeadCallsのインストール、権限許可、偽の通話ビューへのリダイレクトなどをユーザー操作なしで実行します。

- HeadCalls Loaderにより起動されたHeadCallsは、ソケット通信を通じてフォワーディング番号を受信し、強制受信・強制発信機能を実行します。

- 本アプリはローダー型悪性コードであり、内部に保存されたHeadCalls悪性アプリをドロップしてインストールするよう構成されています。この過程でAccessibility Serviceを悪用し、インストール操作や危険権限の許可など、通常であればユーザー操作が必要な処理を強制的に実行します。

- MainActivity初回実行時、asset/web/index.htmlをWebViewで表示し、韓国消費者院アプリに偽装します。

- 権限要求が完了すると追加の悪性アプリのインストールが試行され、この追加アプリが実際のボイスフィッシング機能を担当します。

- HeadCallsはLoaderによって強制的にインストールされ、すべての権限が許可された状態で実行され、実際のボイスフィッシング機能を実行します。

- 通話フォワーディング、オーバーレイによる偽ダイヤラー表示、C2サーバーとのソケット通信を通じた追加の悪性行為などを行います。

- Loader側で権限要求がAccessibility Serviceにより強制的に承認されるため、ユーザーの同意無しにすべての危険権限が許可されます。

- HeadCalls が要求する主要な危険権限：

- バッテリー最適化除外：バックグラウンド作業が停止しないようにします。

- 通知アクセス権限：持続性維持のため通知を利用可能です。

- オーバーレイ権限：他アプリ上にビューを表示し、偽ダイヤラーを使って通話の発着信を模倣できます。

- 強制受信・強制発信とは、被害者が捜査機関や金融機関に電話しても攻撃者に強制的に接続され、またこれらの機関から被害者へ着信があっても攻撃者と接続されるようにする機能です。

- 悪性アプリは初回実行時、デフォルト通話アプリへの設定を要求し、デフォルト通話アプリとなることで通話の制御および通話記録の改ざんが可能になります。HeadCallsはこの権限を利用して発信・着信の流れを操作し、通話記録を改ざんします。

- 強制通話処理の詳細構造については、以下のリンクからお問い合わせください。

- 最近のボイスフィッシング悪性アプリは、郵便通知、ローン案内、検察庁事件照会などを装ってインストールを誘導するため、不審な郵便・ローン・検察関連のリンクをクリックしないよう注意を促します。

🧑‍💻 レポート作成者: S2W 「TALON」

👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact

*当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。