Investigadores de ciberseguridad han descubierto una nueva versión de una conocida familia de malware para Android denominada llamada falsa que utiliza técnicas de phishing por voz (o vishing) para engañar a los usuarios para que revelen su información personal.
“FakeCall es un ataque Vishing extremadamente sofisticado que aprovecha el malware para tomar el control casi completo del dispositivo móvil, incluida la interceptación de llamadas entrantes y salientes”, dijo Fernando Ortega, investigador de Zimperium. dicho en un informe publicado la semana pasada.
“Se engaña a las víctimas para que llamen a números de teléfono fraudulentos controlados por el atacante e imiten la experiencia normal del usuario en el dispositivo”.
FakeCall, también rastreado bajo los nombres FakeCalls y Letscall, ha sido objeto de múltiples análisis por parte de Kaspersky, Check Point y ThreatFabric desde su aparición en abril de 2022. Olas de ataques anteriores se dirigieron principalmente a usuarios móviles en Corea del Sur.
Los nombres de los paquetes maliciosos, es decir, aplicaciones dropper que contienen el malware, se enumeran a continuación:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.asistente
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Al igual que otras familias de malware bancario para Android que se sabe que abusan de las API de Servicios de Accesibilidad para tomar el control de los dispositivos y realizar acciones maliciosas, FakeCall lo utiliza para capturar información que se muestra en la pantalla y otorgarse permisos adicionales si es necesario.
Algunas de las otras funciones de espionaje incluyen capturar una amplia gama de información, como mensajes SMS, listas de contactos, ubicaciones y aplicaciones instaladas, tomar fotografías, grabar una transmisión en vivo desde las cámaras frontal y trasera, agregar y eliminar contactos. , obteniendo clips de audio, descargando imágenes e imitando una transmisión de video de todas las acciones en el dispositivo usando la API MediaProjection.
Las versiones más nuevas también están diseñadas para monitorear el estado de Bluetooth y el estado de la pantalla del dispositivo. Pero lo que hace que el malware sea más peligroso es que le pide al usuario que configure la aplicación como marcador predeterminado, lo que le permite controlar todas las llamadas entrantes y salientes.
Esto no sólo permite a FakeCall interceptar y secuestrar llamadas, sino también cambiar un número marcado, como un banco, a un número malicioso bajo su control, y engañar a las víctimas para que realicen acciones no deseadas.
Por el contrario, las variantes anteriores de FakeCall engañaban a los usuarios para que llamaran al banco desde la aplicación maliciosa que se hacía pasar por varias instituciones financieras con el pretexto de una oferta de préstamo con una tasa de interés más baja.
“Cuando la persona comprometida intenta comunicarse con su institución financiera, el malware redirige la llamada a un número fraudulento controlado por el atacante”, dijo Ortega.
“La aplicación maliciosa engañará al usuario mostrando una interfaz de usuario falsa y convincente que parece ser la interfaz de llamada legítima de Android y que muestra el número de teléfono del banco real. La víctima no se dará cuenta de la manipulación, porque la interfaz de usuario falsa del malware imitar la experiencia bancaria real, permitiendo al atacante extraer información confidencial u obtener acceso no autorizado a las cuentas financieras de la víctima.
La aparición de nuevas y sofisticadas estrategias de mishing (o phishing móvil) pone de relieve una respuesta a la mejora de las defensas de seguridad y al uso generalizado de aplicaciones de identificación de llamadas, que pueden señalar números sospechosos y advertir a los usuarios sobre posible spam.
En los últimos meses, Google también ha experimentado con una iniciativa de seguridad que bloquea automáticamente la descarga de aplicaciones de Android potencialmente dañinas, incluidas aquellas que requieren servicios de accesibilidad, en Singapur, Tailandia, Brasil e India.