Para roubar informações confidenciais e dinheiro de contas bancárias, agora o malware FakeCall redireciona chamadas bancárias para invasores.
Uma nova versão do malware FakeCall para Android sequestra chamadas de saída de um usuário para seu banco, redirecionando-as para o número de telefone do invasor.
Malware FakeCall redireciona chamadas bancárias para invasores
Sim. Agora, o Malware FakeCall redireciona chamadas bancárias para invasores. O objetivo da versão mais recente continua sendo roubar informações confidenciais e dinheiro de contas bancárias.
O FakeCall (ou FakeCalls) é um trojan bancário com foco em phishing de voz, no qual as vítimas são enganadas por meio de chamadas fraudulentas que se passam por bancos, solicitando que transmitam informações confidenciais.
A Kaspersky relatou o trojan pela primeira vez em abril de 2022, apresentando interfaces de chamada de aparência realista para enganar as vítimas e fazê-las acreditar que estão em uma chamada com seu banco.
Um relatório de março de 2023 da CheckPoint alertou que o FakeCall agora estava se passando por mais de 20 organizações financeiras, oferecendo empréstimos com juros baixos aos alvos e apresentando novos mecanismos de evasão para reduzir as taxas de detecção.
Além do vishing (phishing de voz), o FakeCall também pode capturar fluxos de áudio e vídeo ao vivo dos dispositivos infectados, permitindo que os invasores roubem dados confidenciais sem interação da vítima.
Sequestro de chamadas
Em versões anteriores, o FakeCall solicitava que os usuários ligassem para o banco de dentro de um aplicativo, personificando o instituto financeiro. Em seguida, uma tela falsa era sobreposta, exibindo o número real do banco enquanto a vítima estava conectada aos golpistas.
Na versão mais recente analisada pela Zimperium, o aplicativo malicioso se define como o manipulador de chamadas padrão, solicitando que o usuário aprove essa ação ao instalar o aplicativo por meio de um APK do Android.
O manipulador de chamadas no Android gerencia chamadas de entrada e saída, servindo essencialmente como a interface principal que processa discagem, conexão e encerramento de chamadas.
Quando o malware solicita que o usuário o defina como o manipulador de chamadas padrão, ele obtém permissão para interceptar e manipular chamadas de entrada e saída.
Uma interface de chamada falsa imita o discador real do Android, exibindo informações de contato e nomes confiáveis, elevando o nível de engano a um ponto que é difícil para as vítimas perceberem.
O que torna esse malware tão perigoso é que quando um usuário tenta ligar para sua instituição financeira, o malware secretamente sequestra a chamada e a redireciona para o número de telefone de um invasor.
“Quando o indivíduo comprometido tenta entrar em contato com sua instituição financeira, o malware redireciona a chamada para um número fraudulento controlado pelo invasor”, explica o novo relatório da Zimperium.
“O aplicativo malicioso enganará o usuário, exibindo uma IU falsa convincente que parece ser a interface de chamada legítima do Android, mostrando o número de telefone do banco real.”
“A vítima não terá conhecimento da manipulação, pois a interface de usuário falsa do malware imitará a experiência bancária real, permitindo que o invasor extraia informações confidenciais ou obtenha acesso não autorizado às contas financeiras da vítima.”
Novos recursos e melhorias
Apesar da ofuscação de código mais pesada, a Zimperium também descobriu que as versões mais recentes do FakeCall adicionam várias melhorias e mecanismos de ataque, embora alguns ainda estejam em desenvolvimento.
Primeiro, o FakeCall adicionou um ouvinte Bluetooth e um monitor de estado de tela, ambos sem funcionalidade maliciosa ainda.
O malware agora aproveita o Serviço de Acessibilidade do Android para obter amplo controle sobre a interface do usuário, permitindo que ele monitore a atividade do discador, conceda a si mesmo permissões automaticamente e simule ações do usuário, como cliques e gestos.
Um novo serviço de ouvinte de telefone estabelece um canal de comunicação com o servidor de comando e controle (C2) do invasor, permitindo que ele emita comandos para executar várias ações, como obter a localização do dispositivo, excluir aplicativos, gravar áudio ou vídeo e editar contatos.
Novos comandos adicionados na última variante incluem:
- Configurar o malware como o manipulador de chamadas padrão.
- Iniciar transmissão ao vivo do conteúdo da tela do dispositivo.
- Tirar uma captura de tela da tela do dispositivo.
- Desbloquear o dispositivo se ele estiver bloqueado e desativar temporariamente o bloqueio automático.
- Usar serviços de acessibilidade para imitar o pressionamento do botão home.
- Excluir imagens especificadas pelo servidor C2.
- Acessar, compactar e carregar imagens e miniaturas do armazenamento, visando especificamente a pasta DCIM para fotos.
Essas adições mostram que o FakeCall está em desenvolvimento ativo, e seus operadores estão trabalhando para torná-lo um trojan bancário mais evasivo e formidável.
A Zimperium publicou uma lista de indicadores de comprometimento (IoC), incluindo nomes de pacotes de aplicativos e somas de verificação de APK para que os usuários possam evitar os aplicativos maliciosos que carregam o malware.
No entanto, eles são alterados com frequência pelos agentes da ameaça.
Como sempre, é sugerido que os usuários evitem instalar manualmente aplicativos Android por meio de APKs e, em vez disso, instalem-nos do Google Play. Embora o malware ainda possa entrar no serviço do Google, quando detectado, ele pode ser removido pelo Google Play Protect.
