Gli esperti di Zimperium hanno individuato una nuova versione di FakeCall, noto trojan bancario per Android, che può intercettare le chiamate effettuate dall’utente alla propria banca. Risponderà quindi un cybercriminale che chiederà di comunicare le credenziali del conto corrente. Altre funzionalità sono ancora in sviluppo.

Furto di dati con voice phshing

FakeCall (o FakeCalls) è stato scoperto per la prima volta ad aprile 2022 da Kaspersky. Nei mesi successivi è stato aggiornato per offrire nuove funzionalità ai cybercriminali ed evitare la rilevazione da parte dei tool di sicurezza. L’obiettivo finale è rubare dati sensibili degli utenti e denaro dai conti bancari, sfruttando la tecnica del voice phishing (vishing).

Il malware viene distribuito tramite file APK (sideloading). All’avvio dell’app infetta (simile a quella ufficiale della banca) viene chiesto di impostare l’app come predefinita per le chiamate. Ciò consente di intercettare le telefonate in entrata e uscita.

Quando l’ignara vittima chiama la propria banca, sullo schermo viene mostrata un’interfaccia fasulla con nome e numero reale del contatto. In realtà, la telefonata viene trasferita al numero del cybercriminale. Credendo di parlare con un dipendente della banca, l’utente fornisce tutti i suoi dati, incluse le credenziali di accesso al conto corrente.

Il codice del trojan è pesantemente offuscato per evitare la rilevazione, ma gli esperti di Zimperium hanno trovato nuove funzionalità in sviluppo che potrebbero essere incluse nelle future versioni: monitoraggio della connessione Bluetooth, monitoraggio dello schermo, controllo dello smartphone tramite servizi di accessibilità, servizio per il collegamento al server C2 (command and control) per invio e ricezione dei comandi.

Le app bancarie devono essere scaricate solo dal Google Play Store. Gli utenti devono inoltre attivare la funzionalità Play Protect che può rilevare e bloccare le app infette (anche quelle scaricate da store alternativi).