Uma nova versão do malware FakeCall para Android está interceptando chamadas que os usuários realizam para seus bancos, redirecionando-as para o número de telefone do hacker.
O objetivo da versão mais recente do FakeCall continua sendo o roubo de informações sensíveis e o acesso a contas bancárias para desvio de dinheiro.
O FakeCall (ou FakeCalls) é um trojan bancário especializado em phishing por voz (vishing), em que as vítimas são enganadas por meio de chamadas fraudulentas que simulam ser do banco, solicitando informações sensíveis.
A Kaspersky relatou pela primeira vez a existência desse trojan em abril de 2022, destacando que ele exibia interfaces de chamadas realistas para enganar as vítimas e fazê-las acreditar que estavam realmente em contato com o banco.
Em março de 2023, a CheckPoint alertou que o FakeCall já imitava mais de 20 instituições financeiras, oferecendo falsos empréstimos com baixas taxas de juros e incorporando novos mecanismos para evitar sua detecção.
Além do phishing por voz, o FakeCall agora pode capturar áudio e vídeo em tempo real dos dispositivos infectados, permitindo que os atacantes obtenham dados sensíveis sem a necessidade de interação da vítima.
Nas versões anteriores, o FakeCall induzia os usuários a realizar chamadas para o banco a partir de um aplicativo que imitava a instituição financeira. Uma tela falsa era sobreposta, exibindo o número real do banco enquanto a vítima, sem saber, estava conectada com os golpistas.
Na versão mais recente, analisada pela Zimperium, o aplicativo malicioso configura-se como o "gerenciador de chamadas" padrão, solicitando a aprovação do usuário logo após a instalação via APK do Android.
O gerenciador de chamadas no Android é o recurso que administra as ligações, desde o início até o término. Ao configurar-se como o gerenciador padrão, o malware obtém permissão para interceptar e manipular tanto chamadas realizadas quanto recebidas.
A interface falsa de chamadas imita o discador do Android, exibindo informações de contato confiáveis, elevando o nível de dissimulação e dificultando que as vítimas percebam o golpe.
O grande perigo desse malware é que, ao tentar ligar para o banco, o usuário tem sua chamada desviada para um número fraudulento controlado pelo atacante.
"Quando a vítima tenta contatar sua instituição financeira, o malware redireciona a chamada para um número falso sob o controle do atacante," explica o novo relatório da Zimperium.
"O aplicativo malicioso engana o usuário, exibindo uma interface que simula a legítima, mostrando o número verdadeiro do banco, enquanto, na realidade, a chamada é desviada para os golpistas."
"Assim, a vítima não percebe a manipulação, pois a interface falsa do malware imita a experiência de chamada com o banco, permitindo que o atacante extraia informações sensíveis ou acesse ilegalmente as contas bancárias da vítima."
Mesmo com uma ofuscação de código mais avançada, a Zimperium identificou que as versões mais recentes do FakeCall incluem melhorias e novos mecanismos de ataque, embora alguns ainda estejam em desenvolvimento.
Visão geral dos últimos ataques de FakeCall
Fonte: Zimperium
As novas versões do malware adicionaram um monitor de Bluetooth e um estado de tela, ambos ainda sem funcionalidade maliciosa.
O malware agora utiliza o Serviço de Acessibilidade do Android para obter controle avançado sobre a interface do usuário, podendo monitorar atividades no discador, conceder automaticamente permissões a si mesmo e simular ações como cliques e gestos.
Um novo serviço de "escuta telefônica" estabelece uma comunicação com o servidor de comando e controle (C2) do atacante, permitindo a execução de várias ações, como obter a localização do dispositivo, deletar aplicativos, gravar áudio ou vídeo e editar contatos.
Novos comandos na variante mais recente incluem:
Configurar o malware como o gerenciador de chamadas padrão.
Iniciar transmissão ao vivo do conteúdo da tela do dispositivo.
Capturar uma captura de tela.
Desbloquear o dispositivo se estiver bloqueado e desativar temporariamente o bloqueio automático.
Usar serviços de acessibilidade para simular o pressionamento do botão "Home".
Excluir imagens específicas indicadas pelo servidor C2.
Acessar, compactar e enviar imagens e miniaturas da galeria, com foco na pasta DCIM, onde geralmente são armazenadas as fotos.
Essas adições mostram que o FakeCall está em constante desenvolvimento, e seus operadores trabalham para torná-lo um trojan bancário cada vez mais evasivo e perigoso.
A Zimperium publicou uma lista de indicadores de comprometimento (IoCs), incluindo nomes de pacotes de aplicativos e checksums de APKs, para que os usuários possam evitar aplicativos maliciosos. No entanto, esses dados são frequentemente alterados pelos cibercriminosos.
Como sempre, é recomendado que os usuários evitem instalar manualmente aplicativos Android via APKs e optem pela instalação por meio do Google Play. Embora alguns malwares ainda consigam infiltrar-se na plataforma do Google, ao serem detectados, podem ser removidos pelo Google Play Protect.
Via - BC
コメント