Una nueva versión del virus convierte el teléfono en una herramienta para estafadores.
Los especialistas de la empresa Zimperium han identificado una nueva variante del virus FakeCall, dirigida a dispositivos móviles, especialmente Android.
FakeCall utiliza vishing, un tipo de ataque de phishing en el que los estafadores llaman a la víctima y la engañan para que proporcione datos confidenciales. El virus permite a los delincuentes acceder a la información personal de los usuarios, incluyendo credenciales, números de tarjetas de crédito e información bancaria.
FakeCall utiliza llamadas falsas y una interfaz que se asemeja a una aplicación estándar de llamadas en Android. La víctima puede pensar que está llamando al banco o a otra organización, pero en realidad la conversación se redirige a un número controlado por los delincuentes. Además, la interfaz de la aplicación falsa está disfrazada como la interfaz habitual, lo que ayuda a ocultar el hecho del engaño.
FakeCall: El Virus Que Puede Vaciar Tu Cuenta
Después de ser descargado mediante un APK en el dispositivo, el virus descarga datos maliciosos desde un servidor C2, lo que permite a los atacantes interceptar llamadas salientes y entrantes. El virus también utiliza activamente el servidor de comando para realizar diversas acciones en el dispositivo, incluyendo el envío y eliminación de mensajes, acceso a contactos y registros de llamadas, así como grabación de conversaciones.
El ataque comienza con la descarga de un archivo que actúa como dropper e inyecta el virus de segunda etapa. Luego, FakeCall se conecta al servidor C2, lo que permite ejecutar comandos recibidos de los delincuentes. Las principales funciones del virus incluyen:
- Redirección de llamadas: El virus intercepta las llamadas, redirigiéndolas a números de estafadores.
- Acceso remoto: Los delincuentes pueden controlar la interfaz del dispositivo, incluyendo pulsaciones de botones, desplazamiento de pantalla y cambios entre aplicaciones.
- Eliminación de mensajes y aplicaciones: Capacidad para eliminar mensajes y aplicaciones del dispositivo, así como acceder a información sobre llamadas, ubicación y contactos.
Las nuevas versiones de FakeCall incluyen varias mejoras. El virus utiliza funciones como el monitoreo del estado de Bluetooth y de la pantalla, y añade un servicio de accesibilidad que proporciona al malware acceso a la interfaz de usuario del dispositivo, permitiendo obtener información sobre las acciones del usuario. También se han incorporado funciones que permiten la concesión automática oculta de permisos y el control sobre funciones del sistema del dispositivo.
En las nuevas versiones del virus también se han añadido comandos para desactivar Bluetooth, obtener una lista de miniaturas de fotografías y gestionar las funciones principales del dispositivo, como simular la pulsación del botón “Inicio” y gestionar el acceso al dispositivo a través de la pantalla de bloqueo.
FakeCall se encuentra en una etapa de desarrollo activo, y sus operadores trabajan para hacerlo más sigiloso y peligroso como un troyano bancario. Zimperium ha publicado una lista de indicadores de compromiso (IoC), incluyendo nombres de paquetes de aplicaciones y sumas de verificación de APK. Se recomienda a los usuarios evitar la instalación manual de aplicaciones de Android a través de APK, y en su lugar, instalarlas desde Google Play. Aunque el malware aún puede infiltrarse en el servicio de Google, si se detecta, se puede eliminar mediante Google Play Protect.