Occhio a FakeCall. Così il trojan intercetta le chiamate alla banca
Il malware mette in contatto l’ignaro utente coi cybercriminali: la trappola difficile da individuare che svuota il conto
Riesplode con forza l’allarme FakeCall, il temutissimo trojan in grado di intercettare le telefonate fatte da ignari utenti alla propria banca e di metterli in contatto con i cybercriminali: convinto di parlare con un dipendente dell’istituto di credito, il cliente di turno è spinto così a condividere informazioni e dati riservati, spalancando le porte del suo conto corrente agli hacker.
Una prima edizione del malware fu individuata da Kaspersky nel 2022, e da quel momento in poi iniziarono a diffondersi delle versioni aggiornate e quindi di conseguenza via via più insidiose, come quella segnalata nel 2023 da CheckPoint. Inizialmente il trojan, che infettava i dispositivi elettronici tramite file APK provenienti da siti di terze parti, spingeva le vittime a contattare la propria banca dall’interno di un’app, simulando la composizione del numero di telefono reale dell’istituto di credito: a questo punto il cliente di turno entrava in contatto con un truffatore anziché con un dipendente, come invece era convinto di fare.
Gli esperti di Zimperium hanno di recente individuato una nuova ancora più insidiosa versione di FakeCall che in questo caso è addirittura in grado di sostituirsi direttamente al gestore delle chiamate: grazie a questo passaggio, i cybercriminali riescono a ottenere l’autorizzazione a intercettare e deviare sia le telefonate in uscita che quelle in entrata.
A differenza di quanto avveniva nelle versioni precedenti, il malware entra in azione solo quando l’utente contatta telefonicamente il proprio istituto di credito, sostituendosi al dealer di sistema e deviando la chiamata su un dispositivo elettronico nelle disponibilità del truffatore: quest’ultimo, investito del falso ruolo di dipendente della banca, avrà quindi la possibilità di carpire le informazioni necessarie per svuotare il conto della vittima.
A preoccupare è non solo il fatto che il codice del trojan sia stato offuscato in modo considerevole, ma soprattutto che siano state individuate nuove funzioni e sistemi di attacco ancora da perfezionare: tra questi uno di ricezione Bluetooth, che per ora si limita a monitorare la connessione, e uno di monitoraggio dello schermo in grado di comprendere se esso sia acceso o spento. Oltre ciò, FakeCall crea un canale di connessione col server C2 di comando e controllo, consentendo al cybercriminale di effettuare numerose operazioni con lo smartphone della vittima, come ottenere la posizione gps, modificare i contatti, eliminare app o registrare audio e video con videocamera e microfono.
L’unico modo per proteggersi è quello di scaricare le app bancarie solo ed esclusivamente dal Google Play Store: per quanto, come accaduto anche di recente, sia possibile imbattersi in file APK pericolosi anche lì, si tratta di un evento decisamente più raro. Per tutelarsi ulteriormente è consigliabile anche attivare il Play Protect, in grado di individuare e bloccare le app infette.