Malware “FakeCalls” finje ser app bancário [VISHING]

Um malware para Android chamado de “FakeCalls” foi detectado pelo time da Check Point Research. Este malware pode fingir ser mais de 20 aplicativos financeiros e imitar conversas telefônicas do banco ou de funcionários de serviços financeiros. Essa tática é conhecida como phishing por voz ou vishing.

Malware FakeCalls mira mercado sul-coreano

O mercado sul-coreano foi alvo de vários ataques executados pelo malware FakeCalls, que além de atingir o seu objetivo principal, também consegue obter informações confidenciais do dispositivo da vítima.

“Descobrimos mais de 2.500 amostras do FakeCalls que simulavam organizações financeiras e implementavam técnicas de anti-análise“, informou o time da Check Point Research.

“Os desenvolvedores de malware prestaram atenção especial à proteção de seu malware, ao usar evasões exclusivas que não tínhamos visto anteriormente.“

Como funciona o phishing por voz executado pelo malware?

Em um primeiro estágio, o malware pode ser instalado no dispositivo da vítima por meio de um ataque de phishing (link em e-mail, etc), black SEO ou malvertizing.

O malware FakeCalls é apresentado como um aplicativo bancário legítimo, aparentando ser de uma empresa financeira séria e respeitável, levando as vítimas a acreditar que estão usando um aplicativo do próprio banco.

O app oferece à vítima um empréstimo com juros baixos para iniciar o ataque. Após a vítima mostrar interesse, o malware faz uma ligação e reproduz uma gravação do verdadeiro atendimento ao cliente do banco dando instruções sobre como aceitar o pedido de empréstimo.

No entanto, o malware pode ocultar o número de telefone dos invasores e exibir o número real do banco falso, fazendo com que todo o processo pareça legítimo.

A vítima acaba sendo induzida a fornecer informações do cartão de crédito, supostamente necessárias par obter o falso empréstimo.

“Quando as vítimas instalam o malware, elas não suspeitam que funções como capturas ocultas de tela estão presentes no aparente aplicativo “confiável” de internet banking“, explicam os pesquisadores da Check Point.

Técnicas de Anti-análise

O FakeCalls incorpora três novas estratégias que o ajudam a não ser detectado. O primeiro método, conhecido como “Multi-disk”, altera os dados do cabeçalho ZIP do arquivo APK (pacote de instalação para Android), colocando valores altos e anormais para o registro EOCD, de forma a enganar ferramentas de análise automatizadas.

O segundo método de evasão envolve alterar o marcador inicial do arquivo AndroidManifest.xml para ser indetectável, alterando a estrutura das strings e estilos, além de adulterar o deslocamento da última string para levar a uma interpretação imprecisa.

Já para o terceiro método, é utilizada a pasta de ativos (assets) do APK para adicionar vários arquivos dentro de diretórios aninhados, resultando em nomes de arquivos com mais de 300 caracteres. Segundo especialistas, isso pode causar problemas para algumas ferramentas de segurança, dificultando a localização do malware.

Como se prevenir contra este ataque?

A AVG, empresa que possui um antivírus de mesmo nome, alerta para “não atender chamadas de números desconhecidos e não passar informações privadas por telefone. Se você suspeitar que o chamador é um golpista, simplesmente desligue. O sucesso dos golpes de vishing depende do erro humano, e a melhor forma de preveni-los é se conscientizar das vulnerabilidades humanas“.

Clique aqui para saber mais sobre o ataque de vishing e como se proteger.

Conclusão

O phishing por voz é um problema que custou às vítimas da Coréia do Sul 600 milhões de dólares apenas em 2020, de acordo com estatísticas do governo, afetando cerca de 170 mil vítimas registradas entre 2016 e 2020.

Portanto, os pesquisadores dizem que as técnicas e estratégias utilizadas neste malware específico podem ser aplicadas a vários aplicativos que visam outros mercados globais.

Referência:

https://gbhackers.com/fake-calls-android-malware/

Crédito da imagem usado na capa do post:

https://www.ckd3.com/blog/vishing