Un Trojan bancario per Android, denominato Fakecalls, oltre alle solite caratteristiche di spionaggio ha un’interessante capacità di “parlare” con la vittima nelle vesti di un impiegato di banca: si maschera da app bancaria e imita le conversazioni telefoniche con i dipendenti della banca.
Fakecalls imita le app mobili delle famose banche coreane, tra cui KB (Kookmin Bank) e KakaoBank. Oltre ai consueti loghi, i suoi autori visualizzano i numeri di supporto delle rispettive banche nella schermata Fakecalls i quali sembrano essere reali: il numero 1599-3333, ad esempio, può essere trovato sulla pagina principale del sito Web ufficiale di KakaoBank.
Una volta installato, il Trojan richiede immediatamente tutta una serie di autorizzazioni, incluso l’accesso a contatti, microfono e fotocamera, geolocalizzazione, gestione delle chiamate e altro ancora.
A differenza di altri Trojan bancari, Fakecalls può imitare le conversazioni telefoniche attraverso l’assistenza clienti: se la vittima telefona la hotline della banca, il Trojan interrompe discretamente la connessione e apre la propria schermata di chiamata falsa invece della normale app di chiamata. La chiamata sembra essere normale, ma in realtà sono gli attaccanti che ora prenderanno il controllo.
Una volta che la chiamata è stata intercettata, si aprono due possibili scenari: nel primo, Fakecalls connette la vittima direttamente con i criminali informatici, essendo che l’app ha il permesso di effettuare chiamate in uscita e nel secondo scenario, invece, riproduce l’audio preregistrato imitando il saluto standard della banca.
Affinché il trojan mantenga un dialogo realistico con la vittima, gli attori malevoli hanno registrato diverse frasi in coreano tipicamente pronunciate dai dipendenti della segreteria telefonica o dei call center.
Ad esempio, la vittima potrebbe sentire qualcosa del genere: “Ciao. Grazie per aver chiamato KakaoBank. Il nostro call center sta attualmente ricevendo un volume insolitamente elevato di chiamate. Un consulente ti parlerà il prima possibile. <…> Per migliorare la qualità del servizio, la tua conversazione verrà registrata”. Oppure: “Benvenuto alla Kookmin Bank. La tua conversazione verrà registrata. Ora ti metteremo in contatto con un operatore”.
Dopodiché, i criminali informatici, sotto le spoglie di un impiegato di banca, tenteranno di ottenere dati di pagamento o altre informazioni riservate dalla vittima.
L’unico aspetto che potrebbe rivelare il Trojan nella fase delle telefonate è la schermata di chiamata falsa: Fakecalls prevede infatti solo il coreano come lingua di interfaccia il che significa che se sul telefono viene selezionata un’altra lingua di sistema la vittima probabilmente potrebbe avere qualche sospetto.
Fakecalls può falsificare, oltre alle chiamate in uscita, anche le chiamate in arrivo. Quando i criminali informatici vogliono contattare la vittima, il Trojan visualizza il proprio schermo su quello di sistema. Di conseguenza, l’utente non visualizzerà il numero reale utilizzato dai criminali informatici, ma quello mostrato dal Trojan, come il numero di telefono del servizio di supporto della banca.
Oltre a imitare l’assistenza clienti telefonica, Fakecalls ha caratteristiche più tipiche dei trojan bancari: ad esempio può accendere il microfono del telefono della vittima e inviare registrazioni da esso al suo server, oltre a trasmettere segretamente audio e video dal telefono in tempo reale.
Non solo. I criminali informatici possono utilizzare le autorizzazioni richieste dal Fakecalls durante l’installazione per determinare la posizione del dispositivo, copiare l’elenco dei contatti o i file (inclusi foto e video) dal telefono al proprio server e accedere alla cronologia delle chiamate e degli SMS.
Le autorizzazioni concesse permettono al malware non solo di spiare l’utente, ma di controllare in una certa misura il suo dispositivo, dando al Trojan la possibilità di eliminare le chiamate in arrivo e dalla cronologia, il che consente, tra le altre cose, di bloccare e nascondere le chiamate reali dalle banche.
https://www.kaspersky.com/blog/fakecalls-banking-trojan/44072/