FakeCalls, il malware per Android, è tornato e sta circolando imitando le telefonate per oltre 20 organizzazioni finanziarie. Ha rafforzato la capacità di nascondersi e di trarre in inganno dipendenti di banca a fornire dettagli delle carte di credito.
“Questa tipologia di attacchi”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “si conferma essere tra le più insidiose grazie all’utilizzo di FakeCalls malware sempre più evasivi”.
Ecco lo schema di attacco e come proteggersi.
Indice degli argomenti
Il ritorno di FakeCalls, il malware per Android
I ricercatori di sicurezza di Check Point hanno rilasciato un report che rileva che le più recenti versioni hanno implementato molteplici meccanismi di evasione, non avvistati nel precedente sample di un anno fa, trovato da Kaspersky.
“Abbiamo scoperto oltre 2500 sample del malware FakeCalls che usavano una varietà di combinazioni per imitare le organizzazioni finanziarie e implementare tecniche di anti-analisi”, spiega il report di CheckPoint.
“Il successo di queste campagne è funzione della capacità dei gruppi criminali nel condurre attacchi di ingegneria sociale per indurre le vittime a installare il malware sui propri dispositivi”, spiega Paganini.
Infatti, il primo step dell’attacco è l’installazione del malware sullo smartphone della vittima: via phishing, black SEO o malvertising.
“Come evidenziato dagli esperti di CheckPoint”, mette in guardia Paganini, “in rete è possibile reperire di migliaia di sample di malware FakeCalls che imitando un gran numero di organizzazioni finanziarie ed implementando tecniche anti-analisi sempre più sofisticate riescono ad ingannare gli ignari utenti”.
La distribuzione del malware FakeCalls avviene sfruttando fasulle app bancarie che impersonano grandi istituzioni finanziarie, al momento localizzate in Corea del Sud (ma il rischio è, ovviamente, concreto anche per utenti di altri Paesi e la minaccia potrebbe velocemente espandersi in tutto il mondo, magari anche con altri banking trojan simili). Le vittime credono di usare l’app legittima di un vendor fidato.
Lo schema di attacco
L’attacco inizia con l’offerta di un prestito a basso interesse. Una volta che la vittima ha abboccato, il malware dà il via a una chiamata telefonica che riproduce una pre-registrazione del reale supporto clienti con le istruzioni per ottenere l’approvazione della richiesta di prestito.
Il malware maschera il numero telefonico degli attaccanti, e mostra il numero real della banca che imita, dando un tono realistico alla conversazione.
A quel punto la vittima ingannata conferma i dettagli della carta di credito, richiesta per ricevere il prestito, e avviene il furto dei dati.
Oltre al processo di vishing, FakeCalls può catturare e audio live e video streams dal dispositivo compromesso, che potrebbe aiutare gli attaccanti a raccogliere informazioni aggiuntive.
I tre metodi di evasione di FakeCalls
Per evadere il rilevamento, FakeCalls incorpora tre nuove tecniche:
- multi-disk (che coinvolge la manipolazione dei dati dello ZIP header del file APK, Android package, con valori troppo alti dei record EOCD per confondere gli strumenti di analisi automatizzati);
- la manipolazione del file AndroidManifest.xml per rendere il marker iniziale indistinguibile, modificare la struttura di stringhe e stili, manomettendo l’ultimo offset della stringa per causare un’errata interpretazione;
- il terzo metodo aggiunge molti file nelle directory nidificate nella cartella degli asset di APK, creando nomi di file e percorsi che sorpassano i 300 caratteri (secondo Check Point ciò può causare problemi ai security tool nella fase di rilevazione del malware).
Come proteggersi
“Purtroppo, l’unica reale difesa contro attacchi di questo tipo è evitare l’infezione dei propri dispositivi seguendo le raccomandazioni che dispensiamo da sempre, ovvero di utilizzare soluzioni anti-malware sui dispositivi mobili e di installare applicazioni solo da app store ufficiali”, conclude Paganini.
Poiché FakeCalls sfrutta il social engineering, per difendersi da FakeCalls bisogna tenere alta la guardia e puntare sulla consapevolezza dei rischi.
Solo la consapevolezza può evitare le persone a cadere vittime di phishing, vishing (phishing vocale), black SEO o malvertising. Solo in Sud Corea il vishing ha causato danni per 600 milioni di dollari, con 170 mila vittime fra il 2016-2020.
I modelli di discorsi basati sul machine-learning, in grado di generare natural speech e imitare la voce reale delle persone con un minimo training di data input, amplificheranno il fenomeno del vishing.
