Fakecalls 2022: cuando el troyano te habla

Fakecalls es un troyano que se hace pasar por una aplicación bancaria e imita las conversaciones telefónicas con los empleados del banco.

Los ciberdelincuentes siempre presentan malware cada vez más sofisticado. El año pasado, por ejemplo, vio la aparición de un troyano bancario inusual llamado Fakecalls.

Además de las funciones habituales de espionaje, tiene una interesante capacidad para “hablar” con la víctima bajo la apariencia de un empleado del banco.

Hay poca información sobre Fakecalls en línea, por lo que decidimos arrojar algo de luz sobre sus capacidades.

Troyano disfrazado

Fakecalls imita las aplicaciones móviles de los bancos coreanos más populares, entre ellos KB (Kookmin Bank) y KakaoBank.

Curiosamente, además de los logotipos habituales, los creadores del troyano muestran en la pantalla de Fakecalls los números de soporte de los respectivos bancos.

Estos números de teléfono parecen ser reales: el número 1599-3333, por ejemplo, se puede encontrar en la página principal del sitio web oficial de KakaoBank.

Fakecalls: El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)

El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)

Cuando se instala, el troyano solicita inmediatamente una gran cantidad de permisos, incluido el acceso a contactos, micrófono y cámara, geolocalización, manejo de llamadas, etc.

Llamando al banco

A diferencia de otros troyanos bancarios, Fakecalls puede imitar conversaciones telefónicas con atención al cliente.

Si la víctima llama a la línea directa del banco, el troyano interrumpe discretamente la conexión y abre su propia pantalla de llamadas falsas en lugar de la aplicación de llamadas normal.

La llamada parece ser normal, pero de hecho los atacantes ahora tienen el control.

Lo único que podría revelar el troyano en esta etapa es la pantalla de llamada falsa.

Fakecalls tiene un solo idioma de interfaz: coreano.

Esto significa que si se selecciona otro idioma del sistema en el teléfono, por ejemplo, inglés, es probable que la víctima huela mal.

Si bien esto lo convierte en conceptual para América Latina, es solo cuestión de tiempo.

Fakecalls: La pantalla de la aplicación de llamadas estándar (izquierda) y la pantalla de llamadas falsas (derecha)

Después de que se intercepta la llamada, hay dos escenarios posibles.

En la primera, Fakecalls conecta directamente a la víctima con los ciberdelincuentes, ya que la app tiene permiso para realizar llamadas salientes.

En el segundo, el troyano reproduce un audio pregrabado imitando el saludo estándar del banco.

Fakecalls: Fragmento de código de llamadas falsas que reproduce audio pregrabado durante una llamada saliente

Fragmento de código de llamadas falsas que reproduce audio pregrabado durante una llamada saliente

Para que el troyano mantenga un diálogo realista con la víctima, los ciberdelincuentes han grabado varias frases (en coreano) que suelen pronunciar los empleados del buzón de voz o del centro de llamadas.

Por ejemplo, la víctima podría escuchar algo como esto: “Hola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas está recibiendo actualmente un volumen inusualmente grande de llamadas.

Un asesor hablará contigo lo antes posible. <…> Para mejorar la calidad del servicio, su conversación será grabada.” O: “Bienvenido a Kookmin Bank. Su conversación será grabada. Ahora lo conectaremos con un operador”.

Después de eso, los atacantes, bajo la apariencia de un empleado del banco, pueden intentar obtener datos de pago u otra información confidencial de la víctima.

Además de las llamadas salientes, Fakecalls también puede falsificar llamadas entrantes.

Cuando los ciberdelincuentes quieren contactar con la víctima, el troyano muestra su propia pantalla sobre la del sistema.

Como resultado, el usuario no ve el número real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el número de teléfono del servicio de soporte del banco.

Kit de herramientas de software espía

Además de imitar la atención telefónica al cliente, Fakecalls tiene características más típicas de los troyanos bancarios.

Por ejemplo, a las órdenes de los atacantes, el malware puede encender el micrófono del teléfono de la víctima y enviar grabaciones desde él a su servidor, así como transmitir audio y video en secreto desde el teléfono en tiempo real.

Eso no es todo. ¿Recuerda los permisos que solicitó el troyano durante la instalación?

Los ciberdelincuentes pueden usarlos para determinar la ubicación del dispositivo, copiar la lista de contactos o archivos (incluidas fotos y videos) del teléfono a su servidor y acceder al historial de llamadas y mensajes de texto.

Estos permisos permiten que el malware no solo espíe al usuario, sino que también controle su dispositivo hasta cierto punto, lo que le da al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial.

Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.

Las soluciones de Kaspersky detectan este malware con el veredicto Trojan-Banker.AndroidOS.Fakecalls y protegen el dispositivo.

Cómo mantenerse protegido

Para evitar que tus datos personales y tu dinero caigan en manos de los ciberdelincuentes, sigue estos sencillos consejos:

  • Descargue aplicaciones solo de tiendas oficiales y no permita instalaciones de fuentes desconocidas . Las tiendas oficiales verifican todos los programas, e incluso si el malware aún se cuela, generalmente se elimina de inmediato.
  • Preste atención a los permisos que solicitan las aplicaciones y si realmente los necesitan. No tenga miedo de denegar permisos, especialmente los potencialmente peligrosos como el acceso a llamadas, mensajes de texto, accesibilidad, etc.
  • Nunca dé información confidencial por teléfono. Los empleados bancarios reales nunca le pedirán sus credenciales de inicio de sesión de banca en línea, PIN, código de seguridad de la tarjeta o códigos de confirmación de mensajes de texto. En caso de duda, vaya al sitio web oficial del banco y averigüe qué pueden y no pueden preguntar los empleados.
  • Instale una solución robusta que proteja todos sus dispositivos de troyanos bancarios y otro malware.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

Lea más

Ransomware: tope de lista de riesgos cibernéticos del 2022

Amenazas móviles 2021: credenciales de banca y juegos en peligro

PressReader 2022: ciberataque al corazón de la prensa global

Ucrania día 6: Rusia estaría utilizando a Bielorrusia para el cibertrabajo sucio

IBM Security X-Force Threat Intelligence Index 2022

90 / 100