Malware FakeCall redireciona chamadas bancárias para invasores

Para roubar informações confidenciais e dinheiro de contas bancárias, agora o malware FakeCall redireciona chamadas bancárias para invasores.

Uma nova versão do malware FakeCall para Android sequestra chamadas de saída de um usuário para seu banco, redirecionando-as para o número de telefone do invasor.

Malware FakeCall redireciona chamadas bancárias para invasores

Malware FakeCall redireciona chamadas bancárias para invasores

Sim. Agora, o Malware FakeCall redireciona chamadas bancárias para invasores. O objetivo da versão mais recente continua sendo roubar informações confidenciais e dinheiro de contas bancárias.

O FakeCall (ou FakeCalls) é um trojan bancário com foco em phishing de voz, no qual as vítimas são enganadas por meio de chamadas fraudulentas que se passam por bancos, solicitando que transmitam informações confidenciais.

A Kaspersky relatou o trojan pela primeira vez em abril de 2022, apresentando interfaces de chamada de aparência realista para enganar as vítimas e fazê-las acreditar que estão em uma chamada com seu banco.

Um relatório de março de 2023 da CheckPoint alertou que o FakeCall agora estava se passando por mais de 20 organizações financeiras, oferecendo empréstimos com juros baixos aos alvos e apresentando novos mecanismos de evasão para reduzir as taxas de detecção.

Além do vishing (phishing de voz), o FakeCall também pode capturar fluxos de áudio e vídeo ao vivo dos dispositivos infectados, permitindo que os invasores roubem dados confidenciais sem interação da vítima.

Sequestro de chamadas

Em versões anteriores, o FakeCall solicitava que os usuários ligassem para o banco de dentro de um aplicativo, personificando o instituto financeiro. Em seguida, uma tela falsa era sobreposta, exibindo o número real do banco enquanto a vítima estava conectada aos golpistas.

Na versão mais recente analisada pela Zimperium, o aplicativo malicioso se define como o manipulador de chamadas padrão, solicitando que o usuário aprove essa ação ao instalar o aplicativo por meio de um APK do Android.

O manipulador de chamadas no Android gerencia chamadas de entrada e saída, servindo essencialmente como a interface principal que processa discagem, conexão e encerramento de chamadas.

Quando o malware solicita que o usuário o defina como o manipulador de chamadas padrão, ele obtém permissão para interceptar e manipular chamadas de entrada e saída.

Uma interface de chamada falsa imita o discador real do Android, exibindo informações de contato e nomes confiáveis, elevando o nível de engano a um ponto que é difícil para as vítimas perceberem.

O que torna esse malware tão perigoso é que quando um usuário tenta ligar para sua instituição financeira, o malware secretamente sequestra a chamada e a redireciona para o número de telefone de um invasor.

“Quando o indivíduo comprometido tenta entrar em contato com sua instituição financeira, o malware redireciona a chamada para um número fraudulento controlado pelo invasor”, explica o novo relatório da Zimperium.

“O aplicativo malicioso enganará o usuário, exibindo uma IU falsa convincente que parece ser a interface de chamada legítima do Android, mostrando o número de telefone do banco real.”

“A vítima não terá conhecimento da manipulação, pois a interface de usuário falsa do malware imitará a experiência bancária real, permitindo que o invasor extraia informações confidenciais ou obtenha acesso não autorizado às contas financeiras da vítima.”

Malware FakeCall redireciona chamadas bancárias para invasores – Visão geral dos últimos ataques FakeCall (Fonte: Zimperium)

Novos recursos e melhorias

Apesar da ofuscação de código mais pesada, a Zimperium também descobriu que as versões mais recentes do FakeCall adicionam várias melhorias e mecanismos de ataque, embora alguns ainda estejam em desenvolvimento.

Primeiro, o FakeCall adicionou um ouvinte Bluetooth e um monitor de estado de tela, ambos sem funcionalidade maliciosa ainda.

O malware agora aproveita o Serviço de Acessibilidade do Android para obter amplo controle sobre a interface do usuário, permitindo que ele monitore a atividade do discador, conceda a si mesmo permissões automaticamente e simule ações do usuário, como cliques e gestos.

Um novo serviço de ouvinte de telefone estabelece um canal de comunicação com o servidor de comando e controle (C2) do invasor, permitindo que ele emita comandos para executar várias ações, como obter a localização do dispositivo, excluir aplicativos, gravar áudio ou vídeo e editar contatos.

Novos comandos adicionados na última variante incluem:

  • Configurar o malware como o manipulador de chamadas padrão.
  • Iniciar transmissão ao vivo do conteúdo da tela do dispositivo.
  • Tirar uma captura de tela da tela do dispositivo.
  • Desbloquear o dispositivo se ele estiver bloqueado e desativar temporariamente o bloqueio automático.
  • Usar serviços de acessibilidade para imitar o pressionamento do botão home.
  • Excluir imagens especificadas pelo servidor C2.
  • Acessar, compactar e carregar imagens e miniaturas do armazenamento, visando especificamente a pasta DCIM para fotos.

Essas adições mostram que o FakeCall está em desenvolvimento ativo, e seus operadores estão trabalhando para torná-lo um trojan bancário mais evasivo e formidável.

A Zimperium publicou uma lista de indicadores de comprometimento (IoC), incluindo nomes de pacotes de aplicativos e somas de verificação de APK para que os usuários possam evitar os aplicativos maliciosos que carregam o malware.

No entanto, eles são alterados com frequência pelos agentes da ameaça.

Como sempre, é sugerido que os usuários evitem instalar manualmente aplicativos Android por meio de APKs e, em vez disso, instalem-nos do Google Play. Embora o malware ainda possa entrar no serviço do Google, quando detectado, ele pode ser removido pelo Google Play Protect.

Sair da versão mobile