Pesquisadores de segurança cibernética descobriram uma nova versão de uma conhecida família de malware Android chamada Chamada Falsa que usa técnicas de phishing (também conhecido como vishing) para induzir os usuários a divulgar suas informações pessoais.
“O FakeCall é um ataque Vishing altamente sofisticado que dá ao malware controle quase completo sobre o telefone móvel, incluindo a interceptação de chamadas recebidas e efetuadas”, disse Fernando Ortega, pesquisador do Zimperium, em relatório publicado na semana passada.
“As vítimas são enganadas para ligar para números de telefone falsos controlados pelo invasor e imitar uma experiência normal do usuário no dispositivo”.
FakeCall, que também atende pelos nomes FakeCalls e Letscall, foi repetidamente analisado pela Kaspersky, Check Point e ThreatFabric desde que apareceu em abril de 2022. As ondas de ataque anteriores visavam principalmente usuários móveis na Coreia do Sul.
Nomes de pacotes maliciosos, ou seja, aplicativos dropper, contendo malware estão listados abaixo –
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Como outras famílias de malware bancário para Android conhecidas por abusar de APIs de serviços de acesso para assumir o controle de dispositivos e realizar ações maliciosas, o FakeCall o utiliza para capturar informações exibidas na tela e conceder permissões adicionais conforme necessário.
Outros recursos de espionagem incluem a captura de uma ampla gama de informações, como mensagens SMS, listas de contatos, locais e aplicativos instalados, tirar fotos, gravar transmissões ao vivo de câmeras traseiras e frontais, adicionar e remover contatos. , capturando trechos de áudio, fazendo upload de imagens e simulando streams de vídeo de todas as ações no dispositivo usando a API MediaProjection.
Versões mais recentes também foram projetadas para monitorar o status do Bluetooth e o status da tela do dispositivo. Mas o que torna o malware ainda mais perigoso é que ele instrui o usuário a definir o aplicativo como discador padrão, dando-lhe assim a capacidade de monitorar constantemente todas as chamadas recebidas e efetuadas.
Isso não apenas permite que o FakeCall intercepte e sequestre chamadas, mas também permite alterar o número chamado, como o do banco, para um número não autorizado sob seu controle, e induzir as vítimas a cometerem ações não intencionais.
Em contraste, descobriu-se que uma variante anterior do FakeCall solicitava aos usuários que ligassem para um banco a partir de um aplicativo malicioso que se fazia passar por diferentes instituições financeiras, sob o pretexto de uma oferta de empréstimo a juros baixos.
“Quando uma pessoa vulnerável tenta entrar em contato com sua instituição financeira, o malware encaminha a chamada para um número falso controlado pelo invasor”, disse Ortega.
“O aplicativo malicioso enganará o usuário, mostrando uma interface de usuário falsa e convincente que parece ser um aplicativo de chamada Android legítimo, exibindo um número de telefone bancário real. A vítima não notará esse engano, pois a interface de usuário falsa do malware imitará informações bancárias reais. permitindo que o invasor extraia informações confidenciais ou obtenha acesso não autorizado às contas financeiras da vítima.”
O surgimento de novas e sofisticadas técnicas de mishing (também chamadas de phishing) destaca a resposta contrária à melhoria da segurança e ao uso generalizado de aplicativos de identificação de chamadas, que podem sinalizar números suspeitos e alertar os usuários sobre potencial spam.
Nos últimos meses, o Google também experimentou um sistema de segurança que bloqueia automaticamente o carregamento lateral de aplicativos Android potencialmente inseguros, incluindo aqueles que solicitam serviços de acessibilidade, em Singapura, Tailândia, Brasil e Índia.
