Una campaña de malware de phishing de voz de Android (también conocido como vishing). llamadas falsas ha aumentado nuevamente para dirigirse a los usuarios de Corea del Sur bajo la apariencia de más de 20 aplicaciones financieras populares.
«El malware FakeCalls posee la funcionalidad de una navaja suiza que no solo puede lograr su objetivo principal, sino también extraer datos privados del dispositivo de la víctima», dijo la firma de seguridad cibernética Check Point.
Documentado por Kaspersky en abril de 2022, FakeCalls describe la capacidad del malware para imitar conversaciones telefónicas con el representante de servicio al cliente de un banco.
En los ataques observados, los usuarios que instalan la aplicación bancaria no autorizada son engañados para que llamen a la institución financiera ofreciéndoles un préstamo blando falso.
En el punto en el que realmente se produce la llamada, se reproduce un audio pregrabado con instrucciones del banco real. Al mismo tiempo, el malware también disfraza el número de teléfono con el número real del banco para dar la impresión de que un empleado real del banco está al otro lado.
El objetivo final de la campaña es obtener la información de la tarjeta de crédito de la víctima, que según los atacantes es necesaria para calificar para el préstamo inexistente.
La aplicación maliciosa también solicita permisos intrusivos para recopilar datos confidenciales, incluidas transmisiones de audio y video en vivo, desde el dispositivo comprometido, que luego se extrae a un servidor remoto.
Los últimos ejemplos de FakeCalls también implementan varias técnicas para pasar desapercibido. Uno de los métodos es agregar una gran cantidad de archivos en directorios anidados a la carpeta de activos del APK, haciendo que el nombre del archivo y la longitud de la ruta excedan el límite de 300 caracteres.
«Los desarrolladores de malware han tenido especial cuidado en los aspectos técnicos de su creación, así como en la implementación de varias técnicas únicas y efectivas contra el análisis», dijo Check Point. “Además, han desarrollado mecanismos para una resolución encubierta de los servidores de comando y control detrás de las operaciones”.
Si bien el ataque se centra únicamente en Corea del Sur, la firma de ciberseguridad advirtió que las mismas tácticas se pueden replicar en otras regiones del mundo.
Los hallazgos también surgen cuando Cyble arroja luz sobre dos troyanos bancarios de Android llamados Nexus y GoatRAT que pueden recopilar datos valiosos y cometer fraude financiero.
Nexus, una versión renombrada de SOVA, también incluye un módulo de ransomware que cifra los archivos almacenados y puede abusar de los servicios de accesibilidad de Android para extraer frases iniciales de las billeteras de criptomonedas.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su organización? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo mitigar el riesgo.
RESERVA TU LUGAR
Por el contrario, GoatRAT está diseñado para apuntar a los bancos brasileños, uniéndose a bancos como BrasDex y PixPirate para realizar transferencias de dinero fraudulentas a través de la plataforma de pago PIX mientras muestra una ventana superpuesta falsa para ocultar la actividad.
El desarrollo es parte de una tendencia creciente en la que los actores de amenazas utilizan malware bancario cada vez más sofisticado para automatizar todo el proceso de transferencias de dinero no autorizadas en dispositivos infectados.
La firma de seguridad cibernética Kaspersky dijo que detectó 196 476 nuevos troyanos bancarios móviles y 10 543 nuevos troyanos de ransomware móvil en 2022, con China, Siria, Irán, Yemen e Irak emergiendo como los países más propensos a recibir ataques de malware móvil, incluido el adware.
España, Arabia Saudita, Australia, Turquía, China, Suiza, Japón, Colombia, Italia e India encabezan la lista de países más afectados por amenazas financieras móviles.
«A pesar de la disminución general de los instaladores de malware, el continuo aumento de los troyanos bancarios móviles es una clara indicación de que los ciberdelincuentes están enfocados en obtener ganancias financieras», dijo la investigadora de Kaspersky, Tatyana Shishkova.