O malware FakeCalls para Android retorna com novas formas de se esconder em telefones
17 de Março de 2023

O malware "FakeCalls" para Android está circulando novamente na Coreia do Sul, imitando chamadas telefônicas de mais de 20 organizações financeiras e tentando enganar banqueiros para obter seus detalhes de cartão de crédito.

O malware em questão não é novo, já que a Kaspersky publicou um relatório sobre ele há um ano.

No entanto, pesquisadores da Check Point agora relatam que versões mais recentes implementaram múltiplos mecanismos de evasão que não foram vistos em amostras anteriores.

"Descobrimos mais de 2.500 amostras do malware FakeCalls que usavam uma variedade de combinações de organizações financeiras imitadas e implementavam técnicas anti-análise", diz o relatório da Check Point.

"Os desenvolvedores de malware prestaram atenção especial à proteção de seu malware, usando várias evasões únicas que não havíamos visto anteriormente no mundo real".

O primeiro passo do ataque é a instalação do malware no dispositivo da vítima, que pode ocorrer por meio de phishing, black SEO ou malvertizing.

O malware FakeCalls é distribuído em aplicativos bancários falsos que se fazem passar por grandesinstituições financeiras na Coreia, fazendo com que as vítimas acreditem que estão usando um aplicativo legítimo de um fornecedor confiável.

O ataque começa com o aplicativo oferecendo ao alvo um empréstimo com uma taxa de juros baixa.

Uma vez que a vítima está interessada, o malware inicia uma chamada telefônica que reproduz uma gravação do suporte ao cliente real do banco com instruções sobre como aprovar a solicitação de empréstimo.

No entanto, o malware pode mascarar o número chamado, que pertence aos atacantes, e, em vez disso, exibe o número real do banco imitado, tornando a conversa parecida com a realidade.

Em algum momento, a vítima é enganada a confirmar seus detalhes do cartão de crédito, supostamente necessários para receber o empréstimo, que são então roubados pelos atacantes.

Além do processo de vishing, o FakeCalls pode capturar streams de áudio e vídeo ao vivo do dispositivo comprometido, o que pode ajudar os atacantes a coletar informações adicionais.

Nas últimas amostras capturadas e analisadas pelos pesquisadores da Check Point, o FakeCalls incorpora três novas técnicas que ajudam a evadir a detecção.

O primeiro mecanismo é chamado de "multi-disk", que envolve a manipulação dos dados do cabeçalho ZIP do arquivo APK (pacote Android), configurando valores anormalmente altos para o registro EOCD para confundir ferramentas de análise automatizadas.

A segunda técnica de evasão envolve a manipulação do arquivo AndroidManifest.xml para tornar seu marcador inicial indistinguível, modificar a estrutura de strings e estilos e manipular o deslocamento da última string para causar interpretação incorreta.

Por fim, o terceiro método de evasão envolve a adição de muitos arquivos em diretórios aninhados na pasta de ativos do APK, resultando em nomes e caminhos de arquivos que ultrapassam 300 caracteres.

A Check Point diz que isso pode causar problemas para algumas ferramentas de segurança, fazendo com que elas falhem na detecção do malware.

De acordo com estatísticas do governo sul-coreano, o vishing (phishing por voz) é um problema que custou às vítimas no país US$ 600 milhões apenas em 2020, enquanto houve 170.000 vítimas relatadas entre 2016 e 2020.

Embora o FakeCalls tenha permanecido na Coreia do Sul, o malware pode facilmente expandir suas operações para outras regiões se seus desenvolvedores ou afiliados desenvolverem um novo kit de idiomas e sobreposição de aplicativos para visar bancos em diferentes países.

O vishing sempre foi um problema sério, mas o aumento dos modelos de fala de aprendizado de máquina que podem gerar fala natural e imitar vozes de pessoas reais com entrada mínima de dados de treinamento está prestes a ampliar a ameaça em breve.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...