El malware bancario de Android intercepta las llamadas al servicio de atención al cliente

Un troyano bancario para Android que los investigadores llaman Fakecalls viene con una poderosa capacidad que le permite controlar las llamadas al número de atención al cliente de un banco y conectar a la víctima directamente con los ciberdelincuentes que operan el malware.

Disfrazado como una aplicación móvil de un banco popular, Fakecalls muestra todas las marcas de la entidad que suplanta, incluido el logotipo oficial y el número de atención al cliente.

Cuando la víctima intenta llamar al banco, el malware interrumpe la conexión y muestra su pantalla de llamada, que es casi indistinguible de la real.

Interfaz de llamada de troyano de banca móvil Fakecalls
Interfaz de llamada de malware de banca móvil Fakecalls (fuente: Kaspersky)

Mientras la víctima ve el número real del banco en la pantalla, la conexión es con los ciberdelincuentes, quienes pueden hacerse pasar por los representantes de atención al cliente del banco y obtener detalles que les darían acceso a los fondos de la víctima.

El troyano bancario móvil Fakecalls puede hacer esto porque en el momento de la instalación solicita varios permisos que le dan acceso a la lista de contactos, micrófono, cámara, geolocalización y manejo de llamadas.

El malware surgió el año pasado y se ha visto dirigido a usuarios en Corea del Sur, clientes de bancos populares como KakaoBank o Kookmin Bank (KB), señalan los investigadores de seguridad de Kaspersky en un informe de hoy.

Aunque ha estado activo durante un tiempo, el malware ha recibido poca atención, probablemente debido a la limitada geografía de su objetivo, a pesar de su función de llamadas falsas que marca un nuevo paso en el desarrollo de amenazas para la banca móvil.

Línea directa con el actor de amenazas

Kaspersky analizó el malware y descubrió que también puede reproducir un mensaje pregrabado que imita los que suelen usar los bancos para saludar a los clientes que buscan ayuda:

Código en troyano bancario Fakecalls para reproducir mensaje pregrabado
Código en Fakecalls para reproducir audio pregrabado (fuente: Kaspersky)

Los desarrolladores de malware registraron algunas frases que los bancos suelen utilizar para que el cliente sepa que un operador atenderá su llamada tan pronto como estén disponibles.

A continuación se muestran dos ejemplos del audio pregrabado (en coreano) que reproduce el malware Fakecalls para hacer que la artimaña sea más realista:

Hola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas está recibiendo actualmente un volumen inusualmente grande de llamadas. Un asesor hablará contigo lo antes posible. <...> Para mejorar la calidad del servicio, su conversación será grabada.

Bienvenido al Banco Kookmin. Su conversación será grabada. Ahora lo conectaremos con un operador.

Los investigadores de Kaspersky dicen que el malware también puede suplantar las llamadas entrantes, lo que permite a los ciberdelincuentes contactar a las víctimas como si fueran el servicio de atención al cliente del banco.

Kit completo de espionaje

Los permisos que solicita el malware al instalarse permiten a los ciberdelincuentes espiar a la víctima mediante la transmisión de audio y video en tiempo real desde el dispositivo, ver su ubicación, copiar archivos (contactos, archivos como fotos y videos) y el historial de mensajes de texto.

“Estos permisos permiten que el malware no solo espíe al usuario, sino que también controle su dispositivo hasta cierto punto, lo que le da al troyano la capacidad de descartar las llamadas entrantes y eliminarlas del historial. Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos ”- Kaspersky

Si bien se ha observado que Fakecalls solo admite el idioma coreano, lo que facilita la detección si el dispositivo infectado se ejecuta con un idioma de sistema diferente, el actor de amenazas detrás de él podría agregar más para extenderse a otras regiones.

Las recomendaciones de Kaspersky para evitar ser víctima de dicho malware incluyen descargar aplicaciones solo de las tiendas oficiales y prestar atención a los permisos potencialmente peligrosos que solicita una aplicación (acceso a llamadas, mensajes de texto, accesibilidad), especialmente si la aplicación no los necesita.

Además, los investigadores aconsejan a los usuarios que no compartan información confidencial por teléfono (credenciales de inicio de sesión, PIN, código de seguridad de la tarjeta, códigos de confirmación).

Descubre más contenido

Subir Change privacy settings