Malware mobile "FakeCalls".

I ricercatori della sicurezza informatica stanno avvertendo sia gli utenti che le organizzazioni aziendali di una minaccia di malware mobile tracciata come Trojan Android "FakeCalls". Questo software dannoso ha la capacità di imitare oltre 20 diverse applicazioni finanziarie, rendendone difficile il rilevamento. Inoltre, FakeCalls può anche simulare conversazioni telefoniche con impiegati di banca, noto come phishing vocale o vishing.

Il vishing è un tipo di attacco di social engineering condotto per telefono. Implica l'uso della psicologia per manipolare le vittime affinché forniscano informazioni sensibili o eseguano azioni per conto dell'aggressore. Il termine "vishing" è una combinazione delle parole "voce" e "phishing".

FakeCalls è specificamente rivolto al mercato sudcoreano ed è altamente versatile. Non solo svolge la sua funzione primaria, ma ha anche la capacità di estrarre dati privati dalle vittime. Questo Trojan è paragonabile a un coltellino svizzero grazie alla sua funzionalità multiuso. I dettagli sulla minaccia sono stati rilasciati in un rapporto degli esperti di sicurezza informatica di Check Point Research.

Il vishing è una pericolosa tattica criminale informatica

Il voice phishing, noto anche come vishing, è un tipo di schema di ingegneria sociale che mira a indurre le vittime a credere che stiano comunicando con un legittimo impiegato di banca. Ciò si ottiene creando una falsa applicazione di internet banking o sistema di pagamento che imita un vero istituto finanziario. Gli aggressori offrono quindi alla vittima un finto prestito con un tasso di interesse inferiore, che la vittima potrebbe essere tentata di accettare a causa della legittimità percepita della domanda.

Gli aggressori sfruttano questa opportunità per ottenere la fiducia della vittima e ottenere i dettagli della sua carta di credito. Lo fanno sostituendo il numero di telefono appartenente agli operatori di malware con un numero di banca legittimo durante la conversazione. Questo dà l'impressione che la conversazione sia con una vera banca e il suo dipendente. Una volta stabilita la fiducia della vittima, viene indotta a "confermare" i dettagli della propria carta di credito come parte del processo per qualificarsi per il prestito falso.

Il trojan Android FakeCalls può mascherarsi da oltre 20 diverse applicazioni finanziarie e simulare conversazioni telefoniche con impiegati di banca. L'elenco delle organizzazioni che sono state imitate include banche, compagnie assicurative e servizi di shopping online. Le vittime non sono consapevoli del fatto che il malware contenga "funzionalità" nascoste quando installano l'applicazione "affidabile" di internet banking da un'organizzazione solida.

Il malware FakeCalls è dotato di tecniche anti-rilevamento uniche

Più di 2500 campioni del malware FakeCalls sono stati scoperti da Check Point Research. Questi campioni variano nella combinazione di organizzazioni finanziarie imitate e tecniche di evasione implementate. Gli sviluppatori di malware hanno preso ulteriori precauzioni per proteggere la loro creazione implementando diverse tecniche di evasione uniche che non erano state viste prima.

Oltre alle sue altre funzionalità, il malware FakeCalls può catturare flussi audio e video dal vivo dalla fotocamera del dispositivo infetto e inviarli ai server Command-and-Control (C&C) con l'aiuto di una libreria open-source. Il malware può anche ricevere un comando dal server C&C per cambiare la telecamera durante lo streaming live.

Per mantenere nascosti i loro veri server C&C, gli sviluppatori di malware hanno implementato diversi metodi. Uno di questi metodi prevede la lettura dei dati tramite risolutori dead drop in Google Drive o l'utilizzo di un server Web arbitrario. Il dead drop resolver è una tecnica in cui i contenuti dannosi vengono archiviati su servizi Web legittimi. I domini e gli indirizzi IP dannosi sono nascosti per mascherare la comunicazione con i veri server C&C. Sono stati identificati oltre 100 indirizzi IP univoci attraverso l'elaborazione dei dati da risolutori dead drop. Un'altra variante prevede che il malware abbia codificato un collegamento crittografato a uno specifico resolver che contiene un documento con una configurazione del server crittografata.