El malware de Android ‘FakeCalls’ está circulando nuevamente en Corea del Sur, imitando llamadas telefónicas para más de 20 organizaciones financieras e intentando engañar a los banqueros para que revelen los detalles de sus tarjetas de crédito.
El malware en particular no es nuevo, ya que Kaspersky publicó un informe al respecto hace un año. Sin embargo, los investigadores de Check Point ahora informan que las versiones más recientes han implementado múltiples mecanismos de evasión no vistos en muestras anteriores.
«Descubrimos más de 2500 muestras del malware FakeCalls que utilizaban una variedad de combinaciones de organizaciones financieras imitadas e implementaban técnicas antianálisis», se lee en el informe de CheckPoint.
«Los desarrolladores de malware prestaron especial atención a la protección de su malware, utilizando varias evasiones únicas que no habíamos visto anteriormente en la naturaleza».
Phishing de voz
El primer paso del ataque es la instalación de malware en el dispositivo de la víctima, lo que puede ocurrir a través de phishing, SEO negro o publicidad maliciosa.
El malware FakeCalls se distribuye en aplicaciones bancarias falsas que se hacen pasar por grandes instituciones financieras en Corea, por lo que las víctimas piensan que están utilizando una aplicación legítima de un proveedor confiable.
El ataque comienza con la aplicación que ofrece al objetivo un préstamo con una tasa de interés baja. Una vez que la víctima está interesada, el malware inicia una llamada telefónica que reproduce una grabación del servicio de atención al cliente real del banco con instrucciones para obtener la aprobación de la solicitud de préstamo.
Sin embargo, el malware puede enmascarar el número llamado, que pertenece a los atacantes, y en su lugar muestra el número real del banco suplantado, haciendo que la conversación parezca realista.
En algún momento, la víctima es engañada para confirmar los detalles de su tarjeta de crédito, supuestamente necesarios para recibir el préstamo, que luego son robados por los atacantes.
Además del proceso de vishing, FakeCalls puede capturar transmisiones de audio y video en vivo desde el dispositivo comprometido, lo que podría ayudar a los atacantes a recopilar información adicional.
Evasión de la detección
En las últimas muestras capturadas y analizadas por los investigadores de CheckPoint, FakeCalls incorpora tres nuevas técnicas que ayudan a evadir la detección.
El primer mecanismo se llama ‘multidisco’, que implica manipular los datos del encabezado ZIP del archivo APK (paquete de Android), estableciendo valores anormalmente altos para el registro EOCD para confundir las herramientas de análisis automatizado.
La segunda técnica de evasión implica la manipulación del archivo AndroidManifest.xml para hacer que su marcador inicial sea indistinguible, modificar la estructura de cadenas y estilos, y alterar el desplazamiento de la última cadena para causar una interpretación incorrecta.
Finalmente, el tercer método de evasión es agregar muchos archivos dentro de directorios anidados en la carpeta de activos del APK, lo que resulta en nombres de archivo y rutas que superan los 300 caracteres. Check Point dice que esto puede causar problemas para algunas herramientas de seguridad, haciendo que no detecten el malware.
Un problema costoso
Según las estadísticas del gobierno de Corea del Sur, el vishing (phishing de voz) es un problema que ha costado a las víctimas en el país $ 600 millones solo en 2020, mientras que ha habido 170,000 víctimas reportadas entre 2016 y 2020.
Si bien FakeCalls se ha quedado en Corea del Sur, el malware podría expandir fácilmente sus operaciones a otras regiones si sus desarrolladores o afiliados desarrollan un nuevo kit de idioma y una superposición de aplicaciones para apuntar a bancos en diferentes países.
El vishing siempre ha sido un problema grave, pero el aumento de los modelos de voz de aprendizaje automático que pueden generar un habla natural e imitar las voces de personas reales con una entrada mínima de datos de entrenamiento está a punto de magnificar la amenaza en breve.
Fuente: https://www.bleepingcomputer.com