FakeCalls: il malware che simula conversazioni bancarie per rubare informazioni sensibili

Il team di Check Point Research ha individuato un trojan Android chiamato “FakeCalls”. Questo malware può fingere di essere una delle oltre 20 applicazioni finanziarie presenti sullo store e imitare conversazioni telefoniche con la banca o con gli impiegati del servizio finanziario. Questa tattica è nota come “voice phishing”. Il mercato sudcoreano è stato il bersaglio delle capacità multiuso del malware FakeCalls, che può raggiungere il suo obiettivo principale ottenendo informazioni sensibili dal dispositivo della vittima.

Dichiarato dal Check Point Research:

“Abbiamo scoperto oltre 2500 campioni del malware FakeCalls che utilizzavano una varietà di combinazioni di organizzazioni finanziarie imitate e tecniche anti-analisi implementate. Gli sviluppatori di malware hanno prestato particolare attenzione alla protezione del loro malware, utilizzando diverse tecniche di elusione che non avevamo mai visto in precedenza “.

Come funziona il voice phishing?

In Corea del Sud, gli attacchi di voice phishing non sono nuovi. Nel 2020, il voice phishing ha causato perdite finanziarie di quasi 600 milioni di dollari USA, con 170.000 individui che ne sono stati vittima tra il 2016 e il 2020, secondo un rapporto pubblicato sul sito web del governo sudcoreano.

Il malware può essere installato sul dispositivo della vittima come primo passo dell’attacco utilizzando il phishing, il black SEO o il malvertising.

Diffuso su app bancarie false che si presentano come importanti organizzazioni finanziarie coreane, facendo credere alle vittime di utilizzare un’applicazione autentica di un fornitore affidabile.

L’app offre alla vittima un prestito a basso tasso di interesse per avviare l’attacco. Dopo che la vittima ha mostrato interesse, il malware effettua una chiamata e riproduce una registrazione del rappresentante del servizio clienti reale della banca che fornisce istruzioni su come far accettare la richiesta di prestito.

Esso può nascondere il numero di chiamata degli aggressori e mostrare invece il numero effettivo della banca falsa, rendendo la conversazione sembrare genuina. Infine, la vittima viene ingannata a fornire le proprie informazioni sulla carta di credito, che vengono successivamente prese dagli aggressori e che presumibilmente sono necessarie per ottenere il prestito. “Quando le vittime installano il malware FakeCalls, non hanno motivo di sospettare che ci siano delle trappole nascoste nell’applicazione bancaria online affidabile di un’organizzazione solida“, spiegano i ricercatori. Inoltre, può essere riprodotto un clip audio preregistrato che finga di essere istruzioni bancarie al posto di una conversazione telefonica con un operatore di malware.

Tecniche di elusione:

FakeCalls incorpora tre nuove strategie per aiutarlo ad evitare la rilevazione. Il primo metodo, chiamato “multi-disk“, consiste nell’alterare i dati dell’intestazione ZIP del file APK (Android package) inserendo valori anormalmente alti al fine di ingannare gli strumenti di analisi automatica. Il secondo metodo di elusione prevede la modifica del marcatore di avvio del file AndroidManifest.xml in modo da renderlo indetectable, la modifica della struttura delle stringhe e degli stili, e la manipolazione dell’offset dell’ultima stringa per portare a una interpretazione errata. La terza tecnica di elusione utilizzata da FakeCalls consiste nell’utilizzo della cartella degli asset dell’APK per aggiungere numerosi file all’interno di directory nidificate, con nomi di file e percorsi che superano i 300 caratteri. Questo può causare problemi ad alcuni strumenti di sicurezza, rendendo difficile individuare il malware.

Questi tipi di attacchi informatici possono tranquillamente colpire le aziende che praticano il Bring Your Own Device (BYOD),che consiste nella pratica (o politica) di consentire di portare ed usare al lavoro il proprio dispositivo (PC, tablet, Smartphone). Questo, nel perimetro della sicurezza informatica introduce un “rischio” aggiuntivo da tenere in considerazione.

I devices che non sono dietro il diretto controllo dell’azienda, o meglio del reparto IT, sono potenzialmente delle porte aperte che aumentano la vulnerabilità della rete aziendale.