{"id":26612,"date":"2022-04-13T16:23:37","date_gmt":"2022-04-13T14:23:37","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26612"},"modified":"2022-04-13T16:23:37","modified_gmt":"2022-04-13T14:23:37","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/fakecalls-banking-trojan\/26612\/","title":{"rendered":"Fakecalls: il Trojan che parla"},"content":{"rendered":"

I criminali informatici sono sempre in agguato e non si stancano mai di escogitare malware nuovi e sempre pi\u00f9 sofisticati. L\u2019anno scorso, per esempio, abbiamo assistito alla comparsa di un insolito trojan bancario chiamato Fakecalls. Oltre alle solite funzioni di spionaggio, presenta l\u2019interessante capacit\u00e0 di \u201cparlare\u201d con la vittima sotto le false spoglie di un operatore di banca. In rete, esistono poche informazioni su Fakecalls, quindi abbiamo deciso di fare un po\u2019 di luce sulle sue potenzialit\u00e0.<\/p>\n

Trojan in incognito<\/h2>\n

Fakecalls imita le app per il mobile banking<\/em> di popolari banche coreane, tra cui KB (Kookmin Bank) e KakaoBank. Curiosamente, oltre al logo, i creatori del trojan mostrano, sullo schermo di Fakecalls, i numeri dell\u2019assistenza clienti delle rispettive banche. Questi numeri di telefono sembrano essere reali; per esempio, sulla home page del sito ufficiale di KakaoBank \u00e8 possibile trovare il numero 1599-3333.<\/p>\n

\"Il

Il trojan imita l\u2019app bancaria di KB (a sinistra) e quella di KakaoBank (a destra)<\/p><\/div>\n

\u00a0<\/p>\n

Una volta installato, il Trojan richiede immediatamente tutta una serie di permessi, tra cui l\u2019accesso ai contatti, al microfono e alla fotocamera, la geolocalizzazione, la gestione delle chiamate e cos\u00ec via.<\/p>\n

Chiamando la banca<\/h2>\n

A differenza di altri trojan bancari, Fakecalls \u00e8 in grado di simulare una chiamata telefonica con l\u2019assistenza clienti. Se la vittima chiama un agente della banca, il Trojan interrompe discretamente la connessione e apre una finta schermata di chiamata che sostituisce quella normale. La chiamata sembra reale, ma in realt\u00e0 i cybercriminali hanno il controllo della situazione.<\/p>\n

In questa fase, l\u2019unica aspetto che potrebbe far insospettire la vittima \u00e8 la falsa schermata di chiamata. Infatti, l\u2019interfaccia di Fakecalls ha solo una lingua: il coreano. Questo significa che se sul telefono viene selezionata un\u2019altra lingua, come ad esempio l\u2019inglese, la vittima inizier\u00e0 probabilmente a insospettirsi.<\/p>\n

\u00a0<\/p>\n

\"La

La schermata di chiamata normale (a sinistra) e la schermata di Fakecalls (a destra)<\/p><\/div>\n

\u00a0<\/p>\n

Dopo che la chiamata viene intercettata, ci sono due possibili scenari. Nel primo, Fakecalls collega la vittima direttamente con i criminali informatici, poich\u00e9 l\u2019app ha il permesso di effettuare chiamate in uscita. Nel secondo, il trojan riproduce un audio pre-registrato che imita il tipico messaggio di saluto della banca.<\/p>\n

\u00a0<\/p>\n

\"Frammento

Frammento di codice di Fakecalls che riproduce l\u2019audio pre-registrato durante una chiamata in uscita<\/p><\/div>\n

\u00a0<\/p>\n

Per far s\u00ec che il trojan mantenga una conversazione credibile con la vittima, i criminali informatici hanno registrato diversi messaggi (in coreano) come frasi tipiche della segreteria telefonica di una banca o di un call-center. Per esempio, la vittima potrebbe sentire qualcosa del tipo: \u201cCiao! Grazie per aver chiamato KakaoBank. Il nostro call center sta attualmente ricevendo un volume insolitamente elevato di chiamate. Un consulente risponder\u00e0 il prima possibile<\/em>. <\u2026> Per migliorare la qualit\u00e0 del nostro servizio, la conversazione verr\u00e0 registrata<\/em>\u201c. Oppure: \u201cBenvenuti a Kookmin Bank. La conversazione verr\u00e0 registrata. La metteremo ora in contatto con un operatore<\/em>\u201c.<\/p>\n

In seguito, i criminali informatici, sotto le mentite spoglie di un operatore, possono tentare di estorcere alla vittima i dati di pagamento o altre informazioni riservate.<\/p>\n

Oltre alle chiamate in uscita, Fakecalls pu\u00f2 anche falsificare le chiamate in entrata attraverso una tecnica nota come spoofing<\/em>. Quando i criminali informatici vogliono contattare la vittima, il trojan visualizza la propria schermata che prevale su quella del sistema. Di conseguenza, l\u2019utente non vede il vero numero usato dai criminali informatici, ma quello mostrato dal trojan, come il numero di telefono del servizio di assistenza clienti della banca.<\/p>\n

Tools di spionaggio<\/h2>\n

Oltre a simulare il servizio clienti, Fakecalls dispone di funzionalit\u00e0 pi\u00f9 proprie dei trojan bancari. Ad esempio, se i criminali lo desiderano, il malware pu\u00f2 accendere il microfono del telefono della vittima e inviare le registrazioni al loro server, cos\u00ec come trasmettere segretamente ed in tempo reale audio e video dal telefono.<\/p>\n

Tuttavia, non \u00e8 finita qui. Ricordate i permessi che il trojan ha chiesto durante l\u2019installazione? I cybercriminali possono usarli per conoscere la posizione del dispositivo, copiare la lista dei contatti o i file (compresi foto e video) dal telefono al loro server e accedere alla cronologia delle chiamate e dei messaggi di testo.<\/p>\n

Questi permessi permettono al malware non solo di spiare l\u2019utente, ma anche di controllare parzialmente il suo dispositivo, dando al Trojan la possibilit\u00e0 di bloccare le chiamate in arrivo e cancellarle dalla cronologia. In questo modo i ladri possono, tra le altre cose, bloccare e nascondere le chiamate reali dalle banche.<\/p>\n

Le soluzioni Kaspersky rilevano questo malware con il verdetto Trojan-Banker.AndroidOS.Fakecalls<\/em> e proteggono il dispositivo.<\/p>\n

Come proteggersi<\/h2>\n

Per evitare che i vostri dati personali e il vostro denaro cadano nelle mani dei criminali informatici, seguite questi semplici consigli:<\/p>\n

\u00a0<\/p>\n