FakeCall Vishing Malware

Els investigadors de ciberseguretat han descobert una nova variant de la coneguda família d'amenaces d'Android, FakeCall, que utilitza tècniques de pesca de veu o "vishing" per enganyar els usuaris perquè revelin la seva informació personal.

Aquest atac de vishing avançat es basa en programari maliciós que pot obtenir un control ampli sobre un dispositiu mòbil infectat, fins i tot interceptant trucades entrants i sortints. Es fa creure a les víctimes que estan fent trucades legítimes. En canvi, estan connectats a números fraudulents gestionats per l'atacant, tot mentre experimenten una interfície familiar al seu dispositiu.

També rastrejat com a FakeCalls i Letscall, FakeCall ha estat estudiat àmpliament per investigadors de seguretat de la informació des de la seva aparició l'abril de 2022, amb onades d'atac anteriors dirigides principalment als usuaris mòbils a Corea del Sud.

FakeCall recull informació de les pantalles de les víctimes

Els noms de paquets següents s'associen amb aplicacions de comptagot que distribueixen el programari maliciós:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistant
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Com altres amenaces bancàries d'Android, FakeCall fa un mal ús de les API dels serveis d'accessibilitat per obtenir el control del dispositiu i dur a terme activitats malicioses. Aprofita aquestes API per capturar informació a la pantalla i atorgar-se permisos addicionals segons sigui necessari.

Les capacitats d'espionatge del programari maliciós són àmplies, cosa que li permet recollir dades com ara missatges SMS, contactes, ubicacions i aplicacions instal·lades. També pot fer fotografies, gravar reproduccions en directe tant de càmeres frontals com posteriors, afegir i eliminar contactes, capturar fragments d'àudio, carregar imatges i simular un flux de vídeo en directe d'accions del dispositiu mitjançant l'API MediaProjection.

Les noves tàctiques pervertides que mostra el programari maliciós FakeCall

Les versions recentment descobertes del programari maliciós s'han millorat per controlar tant l'estat de Bluetooth com l'activitat de la pantalla al dispositiu. Tanmateix, el que augmenta significativament l'amenaça és la seva tàctica de demanar a l'usuari que estableixi l'aplicació com a marcador predeterminat, la qual cosa li permet fer un seguiment i manipular totes les trucades entrants i sortints.

Aquest accés permet a FakeCall no només interceptar trucades, sinó també alterar els números marcats. Per exemple, les trucades destinades a un banc es poden redirigir a números delinqüents sota el control de l'atacant, enganyant les víctimes perquè prenguin accions no desitjades.

Les versions anteriors de FakeCall demanarien als usuaris que iniciessin trucades al seu banc a través de la mateixa aplicació, sovint fent-se passar per diverses institucions financeres i presentant ofertes de préstecs falses amb tipus d'interès atractius. Quan un usuari compromès intenta trucar al seu banc, el programari maliciós redirigeix la trucada a un número fraudulent controlat per l'atacant.

L'aplicació amenaçadora enganya els usuaris amb una interfície falsa convincent que s'assembla a la pantalla de trucades d'Android, mostrant el número de telèfon real del banc. Aquesta interfície imitada fa que l'usuari no s'adoni de la manipulació, permetent als atacants recopilar informació confidencial o obtenir accés no autoritzat als comptes financers de la víctima.

Els pirates informàtics continuen buscant maneres d'evitar les funcions de seguretat

L'augment de les tècniques avançades de pesca mòbil (mishing) posa de manifest una reacció a les mesures de seguretat millorades i l'adopció generalitzada d'aplicacions d'identificació de trucades, que estan dissenyades per identificar números sospitosos i alertar els usuaris del possible correu brossa.

Recentment, Google ha provat una iniciativa de seguretat que impedeix automàticament la càrrega lateral d'aplicacions d'Android potencialment perjudicials, incloses les que sol·liciten serveis d'accessibilitat, a països com Singapur, Tailàndia, el Brasil i l'Índia.