Um Trojan Android apelidado de “FakeCalls” foi detectado pela equipe de pesquisa da Check Point. Esse malware pode fingir ser um dos mais de 20 aplicativos financeiros e imitar conversas telefônicas com funcionários do banco ou dos serviços financeiros. Essa tática é conhecida como phishing de voz.
O mercado sul-coreano foi alvo das capacidades semelhantes a um canivete suíço do malware FakeCalls, que pode atingir seu objetivo principal ao mesmo tempo em que obtém informações confidenciais do dispositivo da vítima.
“Descobrimos mais de 2.500 amostras do malware FakeCalls que usaram uma variedade de combinações de organizações financeiras imitadas e implementaram técnicas de anti-análise”, disse a equipe de pesquisa da Check Point.
“Os desenvolvedores de malware prestaram atenção especial à proteção de seu malware, usando várias evasões exclusivas que não tínhamos visto anteriormente.”
Como funciona o phishing por voz?
No mercado sul-coreano, os ataques de phishing por voz não são novos. Em 2020, o phishing por voz causou perdas financeiras de quase 600 milhões de dólares, tendo 170.000 indivíduos sido vítimas dele entre 2016 e 2020, de acordo com um relatório publicado no site do governo sul-coreano.
O malware pode ser instalado no dispositivo da vítima como o primeiro estágio do ataque usando phishing, black SEO ou malvertizing.
O malware FakeCalls é disseminado em aplicativos bancários falsos que se passam por importantes organizações financeiras coreanas, levando as vítimas a acreditar que estão usando um aplicativo genuíno de um fornecedor confiável.
O aplicativo oferece à vítima um empréstimo com juros baixos para iniciar o ataque. Depois que a vítima demonstra interesse, o malware faz uma ligação e reproduz uma gravação do representante real do atendimento ao cliente do banco dando instruções sobre como fazer com que o pedido de empréstimo seja aceito.
No entanto, o malware pode ocultar o número de telefone dos invasores e exibir o número real do banco falso, fazendo com que a discussão pareça genuína.
A vítima acaba sendo enganada e fornece as informações do cartão de crédito, que são posteriormente obtidas pelos invasores e são supostamente necessárias para a obtenção do empréstimo.
“Quando as vítimas instalam o malware FakeCalls, elas não têm motivos para suspeitar que algumas capturas ocultas estão presentes no aplicativo de internet banking “confiável” de uma organização sólida”, explica os investigadores da CheckPoint.
Além disso, pode ser reproduzido um clipe de áudio pré-gravado que finge ser instruções bancárias no lugar de uma chamada telefônica com um operador de malware.
Técnicas Anti-Análise
FakeCalls incorpora três novas estratégias para ajudá-lo a evitar a detecção. O primeiro método, conhecido como “multidisco”, é alterar os dados do cabeçalho ZIP do arquivo APK (pacote Android), colocando valores anormalmente altos no registro EOCD para enganar as ferramentas de análise automatizadas.
O segundo método de evasão envolve alterar o marcador inicial do arquivo AndroidManifest.xml para ser indetectável, alterar a estrutura das strings e estilos e adulterar o deslocamento da última string para levar a uma interpretação imprecisa.
A pasta de ativos do APK é usada para adicionar vários arquivos dentro de diretórios aninhados como a terceira técnica de evasão, resultando em nomes e caminhos de arquivos com mais de 300 caracteres. Segundo especialistas, isso pode causar problemas para algumas ferramentas de segurança, dificultando a localização do malware.
Pensamentos finais
O phishing de voz é um problema que custou às vítimas na Coreia do Sul 600 milhões de dólares só em 2020, de acordo com estatísticas do governo, e houve 170.000 vítimas documentadas entre 2016 e 2020.
Conseqüentemente, os pesquisadores afirmam que as técnicas e estratégias utilizadas neste malware específico podem ser aplicadas a vários aplicativos direcionados a outros mercados globais.
Leitura relacionada:
