Malware redireciona ligações bancárias para golpistas
31 de Outubro de 2024

Uma nova versão do malware FakeCall para Android sequestra chamadas saídas de um usuário para seu banco, redirecionando-as para o número de telefone do atacante.

O objetivo da última versão continua sendo roubar informações sensíveis das pessoas e dinheiro de suas contas bancárias.

FakeCall (ou FakeCalls) é um trojan bancário com foco em vishing (phishing de voz), no qual as vítimas são enganadas por meio de chamadas fraudulentas que se passam por bancos, pedindo que transmitam informações sensíveis.

A Kaspersky reportou pela primeira vez o trojan em abril de 2022, apresentando interfaces de chamadas com aparências realistas para enganar as vítimas, fazendo-as acreditar que estão ao telefone com seu banco.

Um relatório de março de 2023 pela CheckPoint alertou que o FakeCall estava agora se passando por mais de 20 organizações financeiras, oferecendo aos alvos empréstimos com baixas taxas de juros e apresentando novos mecanismos de evasão para reduzir as taxas de detecção.

Além do vishing, o FakeCall também poderia capturar transmissões de áudio e vídeo ao vivo dos dispositivos infectados, permitindo que os atacantes roubassem dados sensíveis sem interação com a vítima.

Em versões anteriores, o FakeCall pedia aos usuários para ligar para o banco a partir de um aplicativo, se passando pela instituição financeira.

Então, uma tela falsa era sobreposta, exibindo o número real do banco enquanto a vítima era conectada com os golpistas.

Na última versão analisada pela Zimperium, o aplicativo malicioso se configura como o manipulador de chamadas padrão, pedindo ao usuário para aprovar essa ação ao instalar a aplicação por meio de um APK Android.

O manipulador de chamadas no Android gerencia chamadas de entrada e saída, servindo essencialmente como a interface principal que processa discagem, conexão e término de chamadas.

Quando o malware solicita ao usuário para defini-lo como o manipulador de chamadas padrão, ele obtém permissão para interceptar e manipular tanto chamadas de saída quanto de entrada.

Uma interface de chamada falsa imita o discador do Android, exibindo informações e nomes de contatos confiáveis, elevando o nível de decepção a um ponto que é difícil para as vítimas perceberem.

O que torna esse malware tão perigoso é que quando um usuário tenta ligar para sua instituição financeira, o malware secretamente sequestra a chamada e a redireciona para o número de telefone de um atacante.

"Quando o indivíduo comprometido tenta entrar em contato com sua instituição financeira, o malware redireciona a chamada para um número fraudulento controlado pelo atacante", explica o novo relatório da Zimperium.

O aplicativo malicioso enganará o usuário, exibindo uma UI falsa convincente que parece ser a interface de chamada legítima do Android, mostrando o número real do banco.

A vítima estará desprevenida da manipulação, já que a UI falsa do malware imitará a experiência bancária real, permitindo que o atacante extraia informações sensíveis ou obtenha acesso não autorizado às contas financeiras da vítima.

Apesar da maior ofuscação de código, a Zimperium também descobriu que as últimas versões do FakeCall adicionam várias melhorias e mecanismos de ataque, embora alguns ainda estejam em desenvolvimento.

Primeiro, o FakeCall adicionou um listener Bluetooth e um monitor de estado da tela, ambos ainda sem funcionalidade maliciosa.

Agora, o malware aproveita o Accessibility Service do Android para obter controle extensivo sobre a interface do usuário, permitindo monitorar a atividade do discador, conceder automaticamente permissões a si mesmo e simular ações do usuário como cliques e gestos.

Um novo serviço de escuta telefônica estabelece um canal de comunicação com o servidor de comando e controle (C2) do atacante, permitindo-lhes emitir comandos para executar várias ações, como obter a localização do dispositivo, deletar aplicativos, gravar áudio ou vídeo e editar contatos.

Novos comandos adicionados na variante mais recente incluem:

- Configurar o malware como o manipulador de chamadas padrão.
- Iniciar a transmissão ao vivo do conteúdo da tela do dispositivo.
- Tirar uma captura de tela da tela do dispositivo.
- Desbloquear o dispositivo se estiver bloqueado e desligar temporariamente o bloqueio automático.
- Usar serviços de acessibilidade para imitar o pressionamento do botão home.
- Deletar imagens especificadas pelo servidor C2.
- Acessar, comprimir e fazer upload de imagens e miniaturas do armazenamento, visando especificamente a pasta DCIM para fotos.

Essas adições mostram que o FakeCall está em desenvolvimento ativo, e seus operadores estão trabalhando para torná-lo um trojan bancário mais evasivo e formidável.

A Zimperium publicou uma lista de indicadores de comprometimento (IoC), incluindo nomes de pacotes de aplicativos e checksums de APK, para que os usuários possam evitar os aplicativos maliciosos que carregam o malware.

No entanto, esses são frequentemente alterados pelos agentes de ameaças.

Como sempre, sugere-se que os usuários evitem instalar aplicativos Android manualmente por meio de APKs e os instalem da Google Play.

Embora o malware ainda possa chegar ao serviço da Google, quando detectado, pode ser removido pelo Google Play Protect.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...