Uma nova versão do malware FakeCall para Android sequestra chamadas saídas de um usuário para seu banco, redirecionando-as para o número de telefone do atacante.
O objetivo da última versão continua sendo roubar informações sensíveis das pessoas e dinheiro de suas contas bancárias.
FakeCall (ou FakeCalls) é um trojan bancário com foco em vishing (phishing de voz), no qual as vítimas são enganadas por meio de chamadas fraudulentas que se passam por bancos, pedindo que transmitam informações sensíveis.
A Kaspersky reportou pela primeira vez o trojan em abril de 2022, apresentando interfaces de chamadas com aparências realistas para enganar as vítimas, fazendo-as acreditar que estão ao telefone com seu banco.
Um relatório de março de 2023 pela CheckPoint alertou que o FakeCall estava agora se passando por mais de 20 organizações financeiras, oferecendo aos alvos empréstimos com baixas taxas de juros e apresentando novos mecanismos de evasão para reduzir as taxas de detecção.
Além do vishing, o FakeCall também poderia capturar transmissões de áudio e vídeo ao vivo dos dispositivos infectados, permitindo que os atacantes roubassem dados sensíveis sem interação com a vítima.
Em versões anteriores, o FakeCall pedia aos usuários para ligar para o banco a partir de um aplicativo, se passando pela instituição financeira.
Então, uma tela falsa era sobreposta, exibindo o número real do banco enquanto a vítima era conectada com os golpistas.
Na última versão analisada pela Zimperium, o aplicativo malicioso se configura como o manipulador de chamadas padrão, pedindo ao usuário para aprovar essa ação ao instalar a aplicação por meio de um APK Android.
O manipulador de chamadas no Android gerencia chamadas de entrada e saída, servindo essencialmente como a interface principal que processa discagem, conexão e término de chamadas.
Quando o malware solicita ao usuário para defini-lo como o manipulador de chamadas padrão, ele obtém permissão para interceptar e manipular tanto chamadas de saída quanto de entrada.
Uma interface de chamada falsa imita o discador do Android, exibindo informações e nomes de contatos confiáveis, elevando o nível de decepção a um ponto que é difícil para as vítimas perceberem.
O que torna esse malware tão perigoso é que quando um usuário tenta ligar para sua instituição financeira, o malware secretamente sequestra a chamada e a redireciona para o número de telefone de um atacante.
"Quando o indivíduo comprometido tenta entrar em contato com sua instituição financeira, o malware redireciona a chamada para um número fraudulento controlado pelo atacante", explica o novo relatório da Zimperium.
O aplicativo malicioso enganará o usuário, exibindo uma UI falsa convincente que parece ser a interface de chamada legítima do Android, mostrando o número real do banco.
A vítima estará desprevenida da manipulação, já que a UI falsa do malware imitará a experiência bancária real, permitindo que o atacante extraia informações sensíveis ou obtenha acesso não autorizado às contas financeiras da vítima.
Apesar da maior ofuscação de código, a Zimperium também descobriu que as últimas versões do FakeCall adicionam várias melhorias e mecanismos de ataque, embora alguns ainda estejam em desenvolvimento.
Primeiro, o FakeCall adicionou um listener Bluetooth e um monitor de estado da tela, ambos ainda sem funcionalidade maliciosa.
Agora, o malware aproveita o Accessibility Service do Android para obter controle extensivo sobre a interface do usuário, permitindo monitorar a atividade do discador, conceder automaticamente permissões a si mesmo e simular ações do usuário como cliques e gestos.
Um novo serviço de escuta telefônica estabelece um canal de comunicação com o servidor de comando e controle (C2) do atacante, permitindo-lhes emitir comandos para executar várias ações, como obter a localização do dispositivo, deletar aplicativos, gravar áudio ou vídeo e editar contatos.
Novos comandos adicionados na variante mais recente incluem:
- Configurar o malware como o manipulador de chamadas padrão.
- Iniciar a transmissão ao vivo do conteúdo da tela do dispositivo.
- Tirar uma captura de tela da tela do dispositivo.
- Desbloquear o dispositivo se estiver bloqueado e desligar temporariamente o bloqueio automático.
- Usar serviços de acessibilidade para imitar o pressionamento do botão home.
- Deletar imagens especificadas pelo servidor C2.
- Acessar, comprimir e fazer upload de imagens e miniaturas do armazenamento, visando especificamente a pasta DCIM para fotos.
Essas adições mostram que o FakeCall está em desenvolvimento ativo, e seus operadores estão trabalhando para torná-lo um trojan bancário mais evasivo e formidável.
A Zimperium publicou uma lista de indicadores de comprometimento (IoC), incluindo nomes de pacotes de aplicativos e checksums de APK, para que os usuários possam evitar os aplicativos maliciosos que carregam o malware.
No entanto, esses são frequentemente alterados pelos agentes de ameaças.
Como sempre, sugere-se que os usuários evitem instalar aplicativos Android manualmente por meio de APKs e os instalem da Google Play.
Embora o malware ainda possa chegar ao serviço da Google, quando detectado, pode ser removido pelo Google Play Protect.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...