Malware di vishing FakeCall

I ricercatori di sicurezza informatica hanno scoperto una nuova variante della nota famiglia di minacce Android, FakeCall, che utilizza tecniche di phishing vocale, o "vishing", per indurre gli utenti a rivelare le proprie informazioni personali.

Questo attacco avanzato di vishing si basa su malware in grado di ottenere un controllo esteso su un dispositivo mobile infetto, intercettando persino le chiamate in entrata e in uscita. Le vittime sono portate a credere di essere impegnate in chiamate legittime. Invece, vengono collegate a numeri fraudolenti gestiti dall'aggressore, il tutto mentre sperimentano un'interfaccia familiare sul loro dispositivo.

Noto anche come FakeCalls e Letscall, FakeCall è stato ampiamente studiato dai ricercatori sulla sicurezza informatica sin dalla sua comparsa nell'aprile 2022; le precedenti ondate di attacchi avevano preso di mira principalmente gli utenti di dispositivi mobili in Corea del Sud.

FakeCall raccoglie informazioni dagli schermi delle vittime

I seguenti nomi di pacchetti sono associati alle applicazioni dropper che distribuiscono il malware:

• com.qaz123789.serviceone
• com.sbbqcfnvd.skgkkvba
• com.securegroup.assistente
• com.seplatmsm.skfplzbh
• eugmx.xjrhry.eroreqxo
• gqcvctl.msthh.swxgkyv
• ouyudz.wqrecg.blxal
• plnfexcq.fehlwuggm.kyxvb
• Xkeqoi.iochvm.vmyab

Come altre minacce bancarie Android, FakeCall usa impropriamente le API dei servizi di accessibilità per ottenere il controllo del dispositivo e svolgere attività dannose. Sfrutta queste API per catturare informazioni sullo schermo e concedersi autorizzazioni aggiuntive, se necessario.

Le capacità di spionaggio del malware sono estese, consentendogli di raccogliere dati come messaggi SMS, contatti, posizioni e applicazioni installate. Può anche scattare foto, registrare flussi live da entrambe le telecamere anteriori e posteriori, aggiungere e rimuovere contatti, catturare frammenti audio, caricare immagini e simulare un feed video live delle azioni del dispositivo utilizzando l'API MediaProjection.

Le nuove tattiche subdole mostrate dal malware FakeCall

Le versioni del malware appena scoperte sono state potenziate per monitorare sia lo stato Bluetooth che l'attività dello schermo sul dispositivo. Tuttavia, ciò che aumenta significativamente la minaccia è la sua tattica di chiedere all'utente di impostare l'applicazione come dialer predefinito, consentendole di tracciare e manipolare tutte le chiamate in entrata e in uscita.

Questo accesso consente a FakeCall non solo di intercettare le chiamate, ma anche di modificare i numeri composti. Ad esempio, le chiamate destinate a una banca possono essere reindirizzate a numeri non autorizzati sotto il controllo dell'attaccante, ingannando le vittime e inducendole a compiere azioni indesiderate.

Le versioni precedenti di FakeCall richiedevano agli utenti di avviare chiamate alla propria banca tramite l'applicazione stessa, spesso fingendosi vari istituti finanziari e presentando false offerte di prestito con tassi di interesse interessanti. Quando un utente compromesso tenta di chiamare la propria banca, il malware reindirizza la chiamata a un numero fraudolento controllato dall'attaccante.

L'applicazione minacciosa inganna gli utenti con un'interfaccia falsa convincente che ricorda la schermata di chiamata di Android, mostrando il numero di telefono della banca reale. Questa interfaccia imitata rende l'utente ignaro della manipolazione, consentendo agli aggressori di raccogliere informazioni sensibili o di ottenere un accesso non autorizzato ai conti finanziari della vittima.

Gli hacker continuano a cercare modi per aggirare le funzionalità di sicurezza

L'aumento delle tecniche avanzate di phishing (mishing) sui dispositivi mobili evidenzia una reazione alle misure di sicurezza avanzate e all'adozione diffusa di app di identificazione del chiamante, progettate per identificare numeri sospetti e avvisare gli utenti di potenziale spam.

Di recente, Google ha testato un'iniziativa di sicurezza che impedisce automaticamente il sideload di app Android potenzialmente dannose, comprese quelle che richiedono servizi di accessibilità, in paesi come Singapore, Thailandia, Brasile e India.