El malware emplea técnicas de phishing de voz conocidas como vishing
Investigadores de ciberseguridad han descubierto una nueva versión de una conocida familia de malware para Android denominada FakeCall que emplea técnicas de phishing de voz (también conocido como vishing) para engañar a los usuarios para que proporcionen su información personal.
"FakeCall es un ataque de Vishing extremadamente sofisticado que aprovecha el malware para tomar el control casi completo del dispositivo móvil, incluida la interceptación de llamadas entrantes y salientes", dijo el investigador de Zimperium Fernando Ortega en un informe publicado la semana pasada.
"Las víctimas son engañadas para que llamen a números de teléfono fraudulentos controlados por el atacante e imiten la experiencia normal del usuario en el dispositivo".
FakeCall, también rastreado bajo los nombres FakeCalls y Letscall, ha sido objeto de múltiples análisis por parte de Kaspersky, Check Point y ThreatFabric desde su aparición en abril de 2022. Las oleadas de ataques anteriores se han dirigido principalmente a usuarios de dispositivos móviles en Corea del Sur.
Al igual que otras familias de malware bancario para Android que se sabe que abusan de las API de servicios de accesibilidad para tomar el control de los dispositivos y realizar acciones maliciosas, FakeCall lo usa para capturar información que se muestra en la pantalla y otorgarse permisos adicionales según sea necesario.
Algunas de las otras funciones de espionaje incluyen la captura de una amplia gama de información, como mensajes SMS, listas de contactos, ubicaciones y aplicaciones instaladas, tomar fotografías, grabar una transmisión en vivo desde las cámaras frontal y trasera, agregar y eliminar contactos, capturar fragmentos de audio, cargar imágenes e imitar una transmisión de vídeo de todas las acciones en el dispositivo usando la API MediaProjection.
Las versiones más nuevas también están diseñadas para monitorear el estado de Bluetooth y de la pantalla del dispositivo. Pero lo que hace que el malware sea más peligroso es que le indica al usuario que configure la aplicación como el marcador predeterminado, lo que le da la capacidad de controlar todas las llamadas entrantes y salientes.
Esto no solo permite a FakeCall interceptar y secuestrar llamadas, sino que también le permite modificar un número marcado, como los de un banco, a un número fraudulento bajo su control y atraer a las víctimas para que realicen acciones no deseadas.
Por el contrario, se descubrió que variantes anteriores de FakeCall incitaban a los usuarios a llamar al banco desde la aplicación maliciosa imitando a varias instituciones financieras bajo la apariencia de una oferta de préstamo con una tasa de interés más baja.
"Cuando el individuo comprometido intenta contactar con su institución financiera, el malware redirige la llamada a un número fraudulento controlado por el atacante", dijo Ortega.
"La aplicación maliciosa engañará al usuario, mostrando una interfaz de usuario falsa convincente que parece ser la interfaz de llamada legítima de Android y muestra el número de teléfono del banco real. La víctima no se dará cuenta de la manipulación, ya que la falsa interfaz de usuario del malware imitará la experiencia bancaria real, lo que permitirá al atacante extraer información confidencial u obtener acceso no autorizado a las cuentas financieras de la víctima".
La aparición de nuevas y sofisticadas estrategias de mishing (también conocido como phishing móvil) resalta una respuesta contraria a las defensas de seguridad mejoradas y al uso predominante de aplicaciones de identificación de llamadas, que pueden marcar números sospechosos y advertir a los usuarios sobre posible spam.
En los últimos meses, Google también ha estado experimentando con una iniciativa de seguridad que bloquea automáticamente la descarga de aplicaciones de Android potencialmente inseguras, incluidas aquellas que solicitan servicios de accesibilidad, en Singapur, Tailandia, Brasil e India.