'FakeCalls' Mobile Malware

Pesquisadores de segurança cibernética estão alertando usuários e organizações empresariais sobre uma ameaça de malware móvel rastreada como Trojan Android 'FakeCalls'. Esse software malicioso tem a capacidade de imitar mais de 20 aplicativos financeiros diferentes, dificultando sua detecção. Além disso, o FakeCalls também pode simular conversas telefônicas com funcionários do banco, o que é conhecido como phishing de voz ou vishing.

Vishing é um tipo de ataque de engenharia social conduzido por telefone. Envolve o uso da psicologia para manipular as vítimas para que forneçam informações confidenciais ou executem ações em nome do invasor. O termo 'vishing' é uma combinação das palavras 'voz' e 'phishing'.

O FakeCalls é voltado especificamente para o mercado sul-coreano e é altamente versátil. Ele não apenas cumpre sua função principal, mas também tem a capacidade de extrair dados privados das vítimas. Este Trojan é comparável a um canivete suíço devido à sua funcionalidade multifuncional. Detalhes sobre a ameaça foram divulgados em um relatório dos especialistas em infosec da Check Point Research.

Vishing é uma Tática Cibercriminosa Perigosa

Voice phishing, também conhecido como vishing, é um tipo de esquema de engenharia social que visa enganar as vítimas fazendo-as acreditar que estão se comunicando com um funcionário legítimo do banco. Isso é conseguido através da criação de um falso aplicativo de banco na Internet ou de sistema de pagamento que imita uma instituição financeira real. Os invasores então oferecem à vítima um empréstimo falso com uma taxa de juros mais baixa, que a vítima pode ser tentada a aceitar devido à percepção de legitimidade do aplicativo.

Os invasores usam essa oportunidade para ganhar a confiança da vítima e obter os detalhes do cartão de crédito. Eles fazem isso substituindo o número de telefone pertencente aos operadores de malware por um número de banco legítimo durante a conversa. Isso dá a impressão de que a conversa é com um banco real e seu funcionário. Depois que a confiança da vítima é estabelecida, ela é induzida a 'confirmar' os detalhes do cartão de crédito como parte do processo de qualificação para o empréstimo falso.

O Trojan Android FakeCalls pode se disfarçar como mais de 20 aplicativos financeiros diferentes e simular conversas telefônicas com funcionários do banco. A lista de organizações imitadas inclui bancos, seguradoras e serviços de compras online. As vítimas não sabem que o malware contém 'recursos' ocultos quando instalam o aplicativo de internet banking "confiável" de uma organização sólida.

O Malware FakeCalls é Equipado com Técnicas Exclusivas de Antidetecção

Mais de 2.500 amostras do malware FakeCalls foram descobertas pela Check Point Research. Essas amostras variam na combinação de organizações financeiras simuladas e técnicas de evasão implementadas. Os desenvolvedores de malware tomaram precauções extras para proteger sua criação, implementando várias técnicas de evasão exclusivas que nunca haviam sido vistas antes.

Além de seus outros recursos, o malware FakeCalls pode capturar fluxos de áudio e vídeo ao vivo da câmera do dispositivo infectado e enviá-los para os servidores de comando e controle (C&C) com a ajuda de uma biblioteca de código aberto. O malware também pode receber um comando do servidor C&C para trocar a câmera durante a transmissão ao vivo.

Para manter seus servidores C&C reais ocultos, os desenvolvedores de malware implementaram vários métodos. Um desses métodos envolve a leitura de dados por meio de resolvedores de dead drop no Google Drive ou usando um servidor da Web arbitrário. O Dead Drop Resolver é uma técnica na qual o conteúdo malicioso é armazenado em serviços da Web legítimos. Os domínios e endereços IP maliciosos são ocultados para disfarçar a comunicação com servidores C&C reais. Mais de 100 endereços IP exclusivos foram identificados por meio do processamento de dados de resolvedores de dead drop. Outra variante envolve o malware codificando um link criptografado para um resolvedor específico que contém um documento com uma configuração de servidor criptografado.