Investigadores de ciberseguridad han descubierto una nueva versión de una conocida familia de malware para Android denominada llamada falsa que emplea técnicas de phishing por voz (también conocido como vishing) para engañar a los usuarios para que proporcionen su información personal.
“FakeCall es un ataque Vishing extremadamente sofisticado que aprovecha el malware para tomar el control casi completo del dispositivo móvil, incluida la interceptación de llamadas entrantes y salientes”, dijo el investigador de Zimperium Fernando Ortega en un informe publicado la semana pasada.
“Se engaña a las víctimas para que llamen a números de teléfono fraudulentos controlados por el atacante e imiten la experiencia normal del usuario en el dispositivo”.
FakeCall, también rastreado bajo los nombres FakeCalls y Letscall, ha sido objeto de múltiples análisis por parte de Kaspersky, Check Point y ThreatFabric desde su aparición en abril de 2022. Olas de ataques anteriores se dirigieron principalmente a usuarios de dispositivos móviles en Corea del Sur.
Los nombres de los paquetes maliciosos, es decir, aplicaciones de cuentagotas que contienen el malware, se enumeran a continuación:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.asistente
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Al igual que otras familias de malware bancario para Android que se sabe que abusan de las API de servicios de accesibilidad para tomar el control de los dispositivos y realizar acciones maliciosas, FakeCall lo utiliza para capturar información que se muestra en la pantalla y otorgarse permisos adicionales según sea necesario.
Algunas de las otras funciones de espionaje incluyen capturar una amplia gama de información, como mensajes SMS, listas de contactos, ubicaciones y aplicaciones instaladas, tomar fotografías, grabar una transmisión en vivo desde las cámaras frontal y trasera, agregar y eliminar contactos. , capturando fragmentos de audio, cargando imágenes e imitando una transmisión de video de todas las acciones en el dispositivo usando la API MediaProjection.
Las versiones más nuevas también están diseñadas para monitorear el estado de Bluetooth y el estado de la pantalla del dispositivo. Pero lo que hace que el malware sea más peligroso es que indica al usuario que configure la aplicación como marcador predeterminado, dándole así la capacidad de controlar todas las llamadas entrantes y salientes.
Esto no sólo permite a FakeCall interceptar y secuestrar llamadas, sino que también le permite modificar un número marcado, como los de un banco, a un número fraudulento bajo su control, y atraer a las víctimas para que realicen acciones no deseadas.
Por el contrario, se descubrió que las variantes anteriores de FakeCall incitaban a los usuarios a llamar al banco desde la aplicación maliciosa imitando a varias instituciones financieras bajo el pretexto de una oferta de préstamo con una tasa de interés más baja.
“Cuando el individuo comprometido intenta contactar a su institución financiera, el malware redirige la llamada a un número fraudulento controlado por el atacante”, dijo Ortega.
“La aplicación maliciosa engañará al usuario, mostrando una interfaz de usuario falsa y convincente que parece ser la interfaz de llamada legítima de Android que muestra el número de teléfono del banco real. La víctima no se dará cuenta de la manipulación, ya que la interfaz de usuario falsa del malware imitará la experiencia bancaria real. , permitiendo al atacante extraer información confidencial u obtener acceso no autorizado a las cuentas financieras de la víctima”.
La aparición de estrategias novedosas y sofisticadas de mishing (también conocido como phishing móvil) pone de relieve una contrarrespuesta a las mejores defensas de seguridad y al uso predominante de aplicaciones de identificación de llamadas, que pueden señalar números sospechosos y advertir a los usuarios sobre posible spam.
En los últimos meses, Google también ha estado experimentando con una iniciativa de seguridad que bloquea automáticamente la descarga de aplicaciones de Android potencialmente inseguras, contando aquellas que solicitan servicios de accesibilidad, en Singapur, Tailandia, Brasil e India.