Uma campanha de malware de phishing por voz para Android (também conhecida como vishing), conhecida como FakeCalls, surgiu novamente para visar usuários sul-coreanos sob o disfarce de mais de 20 aplicativos financeiros populares.
"O malware FakeCalls possui a funcionalidade de uma ferramenta suíça, capaz não apenas de realizar seu objetivo principal, mas também de extrair dados privados do dispositivo da vítima", disse a empresa de cibersegurança Check Point.
O FakeCalls foi documentado anteriormente pela Kaspersky em abril de 2022, descrevendo as capacidades do malware para imitar conversas telefônicas com um agente de suporte ao cliente do banco.
Nos ataques observados, os usuários que instalam o aplicativo bancário fraudulento são aliciados a ligar para a instituição financeira oferecendo um empréstimo falso com juros baixos.
No ponto em que a chamada telefônica realmente acontece, um áudio pré-gravado com instruções do banco real é reproduzido.
Ao mesmo tempo, o malware oculta o número de telefone com o número legítimo do banco, dando a impressão de que uma conversa está acontecendo com um funcionário real do banco do outro lado.
O objetivo final da campanha é obter as informações do cartão de crédito da vítima, que os atores da ameaça afirmam serem necessárias para se qualificar para o empréstimo inexistente.
O aplicativo malicioso também solicita permissões intrusivas para colher dados sensíveis, incluindo fluxos de áudio e vídeo ao vivo, do dispositivo comprometido, que são então exfiltrados para um servidor remoto.
As últimas amostras do FakeCalls implementam várias técnicas para permanecer abaixo do radar.
Um dos métodos envolve adicionar um grande número de arquivos dentro de diretórios aninhados na pasta de ativos do APK, fazendo com que o comprimento do nome do arquivo e do caminho ultrapasse o limite de 300 caracteres.
"Os desenvolvedores de malware tiveram cuidado especial com os aspectos técnicos de sua criação, bem como a implementação de várias técnicas de anti-análise únicas e eficazes", disse a Check Point.
"Além disso, eles criaram mecanismos para resolução disfarçada dos servidores de comando e controle por trás das operações".
Embora o ataque se concentre exclusivamente na Coreia do Sul, a empresa de cibersegurança alertou que as mesmas táticas podem ser utilizadas para atingir outras regiões do mundo.
Os achados também vêm à tona quando a Cyble lança luz sobre dois trojans de banco de dados Android chamados Nexus e GoatRAT que podem colher dados valiosos e realizar fraudes financeiras.
O Nexus, uma versão rebrandizada do SOVA, também incorpora um módulo de ransomware que criptografa os arquivos armazenados e pode abusar dos serviços de acessibilidade do Android para extrair frases-semente de carteiras de criptomoedas.
Em contraste, o GoatRAT é projetado para atacar bancos brasileiros e se junta a BrasDex e PixPirate para cometer transferência de dinheiro fraudulenta na plataforma de pagamentos PIX, exibindo uma janela falsa para ocultar a atividade.
O desenvolvimento faz parte de uma tendência crescente em que os atores da ameaça lançaram malwares bancários cada vez mais sofisticados para automatizar todo o processo de transferências de dinheiro não autorizadas em dispositivos infectados.
A empresa de cibersegurança Kaspersky disse ter detectado 196.476 novos trojans bancários móveis e 10.543 novos trojans de ransomware móveis em 2022, com a China, Síria, Irã, Iêmen e Iraque emergindo como os principais países atacados por malwares móveis, incluindo adware.
Espanha, Arábia Saudita, Austrália, Turquia, China, Suíça, Japão, Colômbia, Itália e Índia lideram a lista dos principais países infectados por ameaças financeiras móveis.
"Apesar da queda no número total de instaladores de malware, o crescimento contínuo de trojans bancários móveis é uma indicação clara de que os criminosos cibernéticos estão se concentrando em ganhos financeiros", disse a pesquisadora da Kaspersky, Tatyana Shishkova.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...