Fakecalls: il Trojan che parla

Un trojan che si finge un’app bancaria e riproduce le conversazioni telefoniche con gli operatori della banca.

I criminali informatici sono sempre in agguato e non si stancano mai di escogitare malware nuovi e sempre più sofisticati. L’anno scorso, per esempio, abbiamo assistito alla comparsa di un insolito trojan bancario chiamato Fakecalls. Oltre alle solite funzioni di spionaggio, presenta l’interessante capacità di “parlare” con la vittima sotto le false spoglie di un operatore di banca. In rete, esistono poche informazioni su Fakecalls, quindi abbiamo deciso di fare un po’ di luce sulle sue potenzialità.

Trojan in incognito

Fakecalls imita le app per il mobile banking di popolari banche coreane, tra cui KB (Kookmin Bank) e KakaoBank. Curiosamente, oltre al logo, i creatori del trojan mostrano, sullo schermo di Fakecalls, i numeri dell’assistenza clienti delle rispettive banche. Questi numeri di telefono sembrano essere reali; per esempio, sulla home page del sito ufficiale di KakaoBank è possibile trovare il numero 1599-3333.

Il trojan imita l'app bancaria di KB (a sinistra) e quella di KakaoBank (a destra)

Il trojan imita l’app bancaria di KB (a sinistra) e quella di KakaoBank (a destra)

 

Una volta installato, il Trojan richiede immediatamente tutta una serie di permessi, tra cui l’accesso ai contatti, al microfono e alla fotocamera, la geolocalizzazione, la gestione delle chiamate e così via.

Chiamando la banca

A differenza di altri trojan bancari, Fakecalls è in grado di simulare una chiamata telefonica con l’assistenza clienti. Se la vittima chiama un agente della banca, il Trojan interrompe discretamente la connessione e apre una finta schermata di chiamata che sostituisce quella normale. La chiamata sembra reale, ma in realtà i cybercriminali hanno il controllo della situazione.

In questa fase, l’unica aspetto che potrebbe far insospettire la vittima è la falsa schermata di chiamata. Infatti, l’interfaccia di Fakecalls ha solo una lingua: il coreano. Questo significa che se sul telefono viene selezionata un’altra lingua, come ad esempio l’inglese, la vittima inizierà probabilmente a insospettirsi.

 

La schermata di chiamata normale (a sinistra) e la schermata di Fakecalls (a destra)

La schermata di chiamata normale (a sinistra) e la schermata di Fakecalls (a destra)

 

Dopo che la chiamata viene intercettata, ci sono due possibili scenari. Nel primo, Fakecalls collega la vittima direttamente con i criminali informatici, poiché l’app ha il permesso di effettuare chiamate in uscita. Nel secondo, il trojan riproduce un audio pre-registrato che imita il tipico messaggio di saluto della banca.

 

Frammento di codice di Fakecalls che riproduce l'audio pre-registrato durante una chiamata in uscita

Frammento di codice di Fakecalls che riproduce l’audio pre-registrato durante una chiamata in uscita

 

Per far sì che il trojan mantenga una conversazione credibile con la vittima, i criminali informatici hanno registrato diversi messaggi (in coreano) come frasi tipiche della segreteria telefonica di una banca o di un call-center. Per esempio, la vittima potrebbe sentire qualcosa del tipo: “Ciao! Grazie per aver chiamato KakaoBank. Il nostro call center sta attualmente ricevendo un volume insolitamente elevato di chiamate. Un consulente risponderà il prima possibile. <…> Per migliorare la qualità del nostro servizio, la conversazione verrà registrata“. Oppure: “Benvenuti a Kookmin Bank. La conversazione verrà registrata. La metteremo ora in contatto con un operatore“.

In seguito, i criminali informatici, sotto le mentite spoglie di un operatore, possono tentare di estorcere alla vittima i dati di pagamento o altre informazioni riservate.

Oltre alle chiamate in uscita, Fakecalls può anche falsificare le chiamate in entrata attraverso una tecnica nota come spoofing. Quando i criminali informatici vogliono contattare la vittima, il trojan visualizza la propria schermata che prevale su quella del sistema. Di conseguenza, l’utente non vede il vero numero usato dai criminali informatici, ma quello mostrato dal trojan, come il numero di telefono del servizio di assistenza clienti della banca.

Tools di spionaggio

Oltre a simulare il servizio clienti, Fakecalls dispone di funzionalità più proprie dei trojan bancari. Ad esempio, se i criminali lo desiderano, il malware può accendere il microfono del telefono della vittima e inviare le registrazioni al loro server, così come trasmettere segretamente ed in tempo reale audio e video dal telefono.

Tuttavia, non è finita qui. Ricordate i permessi che il trojan ha chiesto durante l’installazione? I cybercriminali possono usarli per conoscere la posizione del dispositivo, copiare la lista dei contatti o i file (compresi foto e video) dal telefono al loro server e accedere alla cronologia delle chiamate e dei messaggi di testo.

Questi permessi permettono al malware non solo di spiare l’utente, ma anche di controllare parzialmente il suo dispositivo, dando al Trojan la possibilità di bloccare le chiamate in arrivo e cancellarle dalla cronologia. In questo modo i ladri possono, tra le altre cose, bloccare e nascondere le chiamate reali dalle banche.

Le soluzioni Kaspersky rilevano questo malware con il verdetto Trojan-Banker.AndroidOS.Fakecalls e proteggono il dispositivo.

Come proteggersi

Per evitare che i vostri dati personali e il vostro denaro cadano nelle mani dei criminali informatici, seguite questi semplici consigli:

 

  • Scaricate le app solo dagli store ufficiali e non autorizzate installazioni da fonti sconosciute. Gli store ufficiali eseguono controlli su tutti i programmi, e se un malware riesce a intrufolarsi nello store, di solito viene prontamente rimosso.
  • Fate attenzione a quali permessi chiedono le app e se ne hanno davvero bisogno. Non abbiate paura di non concedere i permessi, specialmente quelli potenzialmente pericolosi, come l’accesso alle chiamate, ai messaggi di testo, all’accessibilità e così via.
  • Non date mai informazioni confidenziali e sensibili per telefono. Un agente non vi chiederà mai le vostre credenziali di accesso all’online banking, né il PIN, il codice di sicurezza della carta o i codici di conferma inviati via messaggio di testo. In caso di dubbio, andate sul sito ufficiale della banca e controllate cosa un agente può o non può chiedervi.
  • Installate una soluzione di sicurezza robusta  che protegga tutti i vostri dispositivi dai trojan bancari e da altri malware.

 

Consigli