Los ciberdelincuentes apuntan de nuevo a los dispositivos con un nuevo y peligroso avance en el malware para Android que está poniendo en riesgo los datos financieros de muchos usuarios. Se trata de una nueva versión del troyano bancario FakeCall, que ahora es capaz de redirigir las llamadas de los usuarios a sus bancos, desviándolas directamente al teléfono de los atacantes. El principal objetivo de este malware es robar información sensible de las víctimas, así como acceder a sus cuentas bancarias para obtener beneficios económicos.
¿Qué es FakeCall?
FakeCall es un troyano bancario que utiliza técnicas de vishing (phishing por voz) para engañar a las víctimas. Esta amenaza no es nueva: el malware fue descubierto inicialmente en abril de 2022 por la firma de ciberseguridad Kaspersky, la cual alertó de que el troyano tenía una interfaz de llamadas lo suficientemente convincente como para engañar a los usuarios haciéndoles creer que estaban hablando directamente con su banco.
La técnica de ataque es simple pero efectiva: los atacantes se hacen pasar por representantes del banco de la víctima y solicitan información sensible, como números de tarjetas, contraseñas y datos de seguridad. En marzo de 2023, CheckPoint publicó un informe que advertía que FakeCall ya estaba suplantando a más de 20 organizaciones financieras y que contaba con nuevas funciones para evitar la detección.
Función de redirección de llamadas: un nuevo nivel de amenaza
La última versión de FakeCall, detectada recientemente por la empresa de ciberseguridad Zimperium, lleva las capacidades del troyano a un nuevo nivel. Ahora, el malware puede interceptar y redirigir las llamadas salientes a bancos sin que el usuario lo sepa. Esto se logra configurando la aplicación maliciosa como el controlador de llamadas predeterminado en el dispositivo Android de la víctima, permitiéndole interceptar tanto llamadas entrantes como salientes.
¿Cómo funciona?
Cuando el usuario intenta hacer una llamada a su banco, la aplicación redirige la comunicación hacia un número controlado por los atacantes. Para el usuario, la llamada parece legítima, ya que la interfaz del troyano simula ser la interfaz de llamada original del dispositivo, mostrando incluso el número real del banco. Esto hace que la víctima confíe en que está en contacto con su entidad financiera, cuando en realidad está proporcionando información confidencial a los ciberdelincuentes.
Nuevas capacidades para un ataque más efectivo
La última versión de FakeCall incluye comandos adicionales que lo hacen aún más peligroso para las víctimas:
- Configuración como controlador de llamadas predeterminado: Esto permite interceptar y redirigir llamadas sin el conocimiento de la víctima.
- Transmisión en vivo de la pantalla del dispositivo: Los atacantes pueden visualizar en tiempo real el contenido de la pantalla de la víctima, lo que facilita la obtención de datos sensibles.
- Captura de pantalla: FakeCall puede tomar capturas de pantalla del dispositivo, registrando potencialmente información importante.
- Desbloqueo del dispositivo: El malware es capaz de desbloquear el dispositivo de la víctima y desactivar temporalmente el bloqueo automático.
- Uso de servicios de accesibilidad para simular la pulsación del botón de inicio: Esto puede ayudar a los atacantes a manipular el dispositivo sin que el usuario se dé cuenta.
- Eliminación de imágenes y acceso a la carpeta de fotos (DCIM): FakeCall tiene la capacidad de acceder, comprimir y cargar imágenes del dispositivo, en particular aquellas en la carpeta de fotos, lo cual podría ser usado para robar imágenes sensibles.
Implicaciones de seguridad para los usuarios de Android
El desarrollo continuo de FakeCall y la incorporación de estas nuevas funciones representan una amenaza significativa para los usuarios de dispositivos Android, especialmente aquellos que interactúan regularmente con aplicaciones de banca móvil. Este tipo de malware no solo pone en riesgo la privacidad y seguridad de la información financiera, sino que también permite el acceso y manipulación remota del dispositivo, lo que agrava el impacto potencial de un ataque exitoso.