I ricercatori di sicurezza informatica hanno scoperto una nuova versione di una nota famiglia di malware Android, chiamata FakeCall, che utilizza tecniche di phishing vocale (vishing) per ingannare gli utenti e convincerli a condividere informazioni personali.
FakeCall, ecco come ha fatto ritorno e come funziona questo malware
“FakeCall è un attacco di vishing estremamente sofisticato che sfrutta il malware per ottenere un controllo quasi completo sul dispositivo mobile, inclusa l’intercettazione delle chiamate in entrata e in uscita“, ha dichiarato Fernando Ortega, ricercatore di Zimperium, in un rapporto pubblicato la scorsa settimana; Ortega ha successivamente aggiunto che: “Le vittime vengono indotte a chiamare numeri di telefono fraudolenti controllati dall’attaccante, che replicano l’esperienza d’uso normale del dispositivo.“
FakeCall, noto anche con i nomi FakeCalls e Letscall, è stato oggetto di diverse analisi da parte di Kaspersky, Check Point e ThreatFabric sin dalla sua apparizione nell’aprile 2022; le precedenti ondate di attacchi hanno colpito principalmente utenti su dispositivi mobili Android in Corea del Sud.
Dietro quali “nomi” si nasconde il malware FakeCall
I nomi dei pacchetti malevoli, ovvero le app dropper che contengono il malware, sono elencati di seguito:
- com.qaz123789.serviceone
- com.sbbqcfnvd.skgkkvba
- com.securegroup.assistant
- com.seplatmsm.skfplzbh
- eugmx.xjrhry.eroreqxo
- gqcvctl.msthh.swxgkyv
- ouyudz.wqrecg.blxal
- plnfexcq.fehlwuggm.kyxvb
- xkeqoi.iochvm.vmyab
Come altre famiglie di malware bancari per Android, note per abusare delle API dei servizi di accessibilità per prendere il controllo dei dispositivi e svolgere azioni dannose, FakeCall utilizza questi servizi per acquisire informazioni visualizzate sullo schermo e concedersi ulteriori permessi, se necessario.
Come spia gli utenti FakeCall a livello tecnico
Tra le altre funzionalità di spionaggio, il malware è in grado di catturare un’ampia gamma di informazioni, come messaggi SMS, liste di contatti, posizioni e app installate, scattare foto, registrare un live streaming dalle fotocamere anteriori e posteriori, aggiungere e eliminare contatti, registrare frammenti audio, caricare immagini e imitare un flusso video di tutte le azioni eseguite sul dispositivo tramite l’API MediaProjection.
Le versioni più recenti sono anche progettate per monitorare lo stato del Bluetooth e lo stato dello schermo del dispositivo e ciò che rende il malware particolarmente pericoloso è il fatto che istruisce l’utente a impostare l’app come dialer predefinito, ottenendo così la possibilità di monitorare tutte le chiamate in entrata e in uscita.
Questo non solo consente a FakeCall di intercettare e dirottare le chiamate, ma permette anche di modificare un numero composto, come quelli di una banca, sostituendolo con un numero sotto il controllo dell’attaccante e inducendo le vittime a compiere azioni indesiderate.
La differenza con le varianti precedenti
Al contrario, le varianti precedenti di FakeCall erano state trovate a indurre gli utenti a chiamare la banca direttamente dall’app malevola, imitando diverse istituzioni finanziarie sotto la falsa promessa di un’offerta di prestito a tasso ridotto.
“Quando l’individuo compromesso tenta di contattare la propria istituzione finanziaria, il malware reindirizza la chiamata a un numero fraudolento controllato dall’attaccante“, ha affermato Ortega.
Il ricercatore di sicurezza informatica ha poi spiegato per bene: “L’app malevola ingannerà l’utente mostrando un’interfaccia utente falsa ma convincente, che sembra essere quella legittima di Android e visualizza il numero di telefono reale della banca. La vittima non sarà consapevole della manipolazione, poiché l’interfaccia falsa del malware imiterà l’esperienza bancaria reale, consentendo all’attaccante di estrarre informazioni sensibili o ottenere accesso non autorizzato ai conti finanziari della vittima.“
L’emergere di nuove strategie sofisticate di “mishing” (phishing mobile) evidenzia una risposta contraria ai miglioramenti nelle difese di sicurezza e all’uso diffuso di applicazioni di identificazione del chiamante, che possono segnalare numeri sospetti e avvertire gli utenti di potenziali spam.
La sperimentazione di Google per aumentare la sicurezza su Android
Ovviamente la grande G per proteggere gli utenti, alla fine non si è tirata indietro.
Negli ultimi mesi, Google ha inoltre sperimentato un’iniziativa di sicurezza che blocca automaticamente l’installazione di applicazioni Android potenzialmente pericolose, includendo quelle che richiedono servizi di accessibilità, in vari paesi tra cui Singapore, Thailandia, Brasile e India.
E tu cosa ne pensi di questo malware e di questa curiosa situazione? Scrivi sui commenti che ne pensi.