Malware móvil 'FakeCalls'

Los investigadores de seguridad cibernética están advirtiendo a los usuarios y organizaciones comerciales sobre una amenaza de malware móvil rastreada como troyano de Android 'FakeCalls'. Este software malicioso tiene la capacidad de imitar más de 20 aplicaciones financieras diferentes, lo que dificulta su detección. Además, FakeCalls también puede simular conversaciones telefónicas con empleados bancarios, lo que se conoce como phishing o vishing de voz.

El vishing es un tipo de ataque de ingeniería social que se realiza por teléfono. Implica el uso de la psicología para manipular a las víctimas para que proporcionen información confidencial o realicen acciones en nombre del atacante. El término 'vishing' es una combinación de las palabras 'voz' y 'phishing'.

FakeCalls está dirigido específicamente al mercado de Corea del Sur y es muy versátil. No solo cumple su función principal sino que también tiene la capacidad de extraer datos privados de las víctimas. Este troyano es comparable a una navaja suiza debido a su funcionalidad multipropósito. Los detalles sobre la amenaza fueron publicados en un informe de los expertos en seguridad informática de Check Point Research.

El vishing es una peligrosa táctica cibercriminal

El phishing de voz, también conocido como vishing, es un tipo de esquema de ingeniería social que tiene como objetivo engañar a las víctimas para que crean que se están comunicando con un empleado bancario legítimo. Esto se logra mediante la creación de una aplicación de sistema de pago o banca por Internet falsa que imita a una institución financiera real. Luego, los atacantes ofrecen a la víctima un préstamo falso con una tasa de interés más baja, que la víctima puede verse tentada a aceptar debido a la legitimidad percibida de la solicitud.

Los atacantes aprovechan esta oportunidad para ganarse la confianza de la víctima y obtener los datos de su tarjeta de crédito. Lo hacen reemplazando el número de teléfono que pertenece a los operadores de malware con un número de banco legítimo durante la conversación. Esto da la impresión de que la conversación es con un banco real y su empleado. Una vez que se establece la confianza de la víctima, se la engaña para que "confirme" los detalles de su tarjeta de crédito como parte del proceso para calificar para el préstamo falso.

El troyano de Android FakeCalls puede hacerse pasar por más de 20 aplicaciones financieras diferentes y simular conversaciones telefónicas con empleados bancarios. La lista de organizaciones que fueron imitadas incluye bancos, compañías de seguros y servicios de compras en línea. Las víctimas no saben que el malware contiene "características" ocultas cuando instalan la aplicación de banca por Internet "confiable" de una organización sólida.

El malware FakeCalls está equipado con técnicas únicas de antidetección

Check Point Research ha descubierto más de 2500 muestras del malware FakeCalls. Estas muestras varían en la combinación de organizaciones financieras imitadas y técnicas de evasión implementadas. Los desarrolladores de malware han tomado precauciones adicionales para proteger su creación al implementar varias técnicas de evasión únicas que no se habían visto antes.

Además de sus otras capacidades, el malware FakeCalls puede capturar secuencias de audio y video en vivo desde la cámara del dispositivo infectado y enviarlas a los servidores de comando y control (C&C) con la ayuda de una biblioteca de código abierto. El malware también puede recibir un comando del servidor C&C para cambiar la cámara durante la transmisión en vivo.

Para mantener ocultos sus servidores C&C reales, los desarrolladores de malware han implementado varios métodos. Uno de estos métodos implica la lectura de datos a través de resolutores de caída muerta en Google Drive o el uso de un servidor web arbitrario. Dead drop resolver es una técnica en la que el contenido malicioso se almacena en servicios web legítimos. Los dominios maliciosos y las direcciones IP se ocultan para disfrazar la comunicación con los servidores reales de C&C. Se han identificado más de 100 direcciones IP únicas a través del procesamiento de datos de resolutores de punto muerto. Otra variante implica que el malware tenga codificado un enlace cifrado a un resolutor específico que contiene un documento con una configuración de servidor cifrada.