Fakecalls: conheça o Trojan que imita ligações telefônicas

Os cibercriminosos estão sempre criando malwares, cada vez mais sofisticados. No ano passado, por exemplo, surgiu um Trojan bancário incomum chamado Fakecalls. Além dos recursos usuais de espionagem, ele possui uma interessante capacidade de “conversar” com a vítima disfarçada de funcionário do banco. Há pouca informação sobre o Fakecalls online, então decidimos esclarecer suas capacidades e perigos.

Trojan disfarçado

O Fakecalls imita a interface dos aplicativos móveis de bancos populares da Coréia do Sul, entre eles o KB (Kookmin Bank) e o KakaoBank. Curiosamente, além dos logotipos usuais, os criadores do Trojan exibem os números de suporte dos respectivos bancos na tela do Fakecalls. Esses números de telefone parecem ser reais – o número 1599-3333, por exemplo, pode ser encontrado na página principal do site oficial do KakaoBank.

O Trojan imita os apps dos bancos KB (à esquerda) e KakaoBank (à direita)

Quando instalado, o Trojan solicita imediatamente uma série de permissões, incluindo acesso a contatos, microfone e câmera, geolocalização, controle de chamadas e várias outras.

Ligação para o banco

Ao contrário de outros Trojans bancários, o Fakecalls pode imitar conversas telefônicas de suporte ao cliente. Se a vítima ligar para a linha direta do banco, o Trojan interrompe discretamente a conexão e abre sua própria tela de chamada falsa em vez do aplicativo de chamada normal. A chamada parece normal, mas na verdade quem está no controle são os invasores.

A única coisa que pode revelar o Trojan neste estágio é a tela de chamada falsa. O Fakecalls tem apenas um idioma de interface: coreano. Isso significa que, se outro idioma do sistema for selecionado no telefone – digamos, inglês – a vítima provavelmente vai perceber que tem algo de errado.

A tela padrão do app de chamadas (à esquerda) e a tela do Fakecalls (à direita)

Após a chamada ser interceptada, existem dois cenários possíveis. No primeiro, o Fakecalls conecta a vítima diretamente aos cibercriminosos, já que o app tem permissão para fazer chamadas. No segundo, o Trojan reproduz um áudio pré-gravado imitando a saudação padrão do banco.

O código fragmentado do Fakecalls toca um áudio pré-gravado durante uma chamada

Para que o Trojan mantenha um diálogo realista com a vítima, os cibercriminosos gravaram várias frases (em coreano) normalmente pronunciadas em correio de voz ou por funcionários da central de atendimento. Por exemplo, a vítima pode ouvir algo do tipo: “Olá. Obrigado por ligar para o KakaoBank. Nossa central telefônica está recebendo um volume maior de chamadas. Um consultor falará com você o mais rápido possível. <…> Para melhorar a qualidade do serviço, sua conversa será gravada.” Ou: “Bem-vindo ao Kookmin Bank. Sua conversa será gravada. Agora vamos transferir sua ligação para um atendente.”

Na sequência, os invasores, disfarçados de funcionário do banco, podem tentar obter dados de pagamento ou outras informações confidenciais da vítima.

Além interceptar chamadas realizadas, o Fakecalls também pode falsificar as chamadas recebidas. Quando os cibercriminosos querem entrar em contato com a vítima, o Trojan exibe sua própria tela sobre a do sistema. Desta forma, o usuário não vê o número real usado pelos cibercriminosos, mas aquele que o Trojan quer exibir, como o número de telefone do serviço de suporte do banco.

As ferramentas de Spyware

Além de imitar o suporte ao cliente por telefone, o Fakecalls possui outros recursos típicos de Trojans bancários. Por exemplo: sob o comando dos invasores, o malware pode ativar o microfone do telefone da vítima e enviar gravações para seus servidores, além de transmitir áudio e vídeo secretamente do telefone em tempo real.

E isso não é tudo. Você se lembra das permissões que o Trojan pediu durante a instalação? Os cibercriminosos podem usá-las para determinar a localização do dispositivo, copiar a lista de contatos ou arquivos (incluindo fotos e vídeos) do telefone para seus servidores e até acessar o histórico de chamadas e de mensagens de texto.

Essas permissões permitem que o malware não apenas espione o usuário, mas também controle seu dispositivo até certo ponto, dando ao Trojan a capacidade de descartar chamadas recebidas e excluí-las do histórico. Isso permite que os golpistas, entre outras coisas, bloqueiem e ocultem chamadas reais de bancos.

As soluções da Kaspersky detectam esse malware como Trojan-Banker.AndroidOS.Fakecalls, e protege o dispositivo

Mantenha-se protegido

Para proteger seus dados pessoais e evitar que seu dinheiro acabe caindo nas mãos de cibercriminosos, siga essas dicas simples:

• Baixe aplicativos apenas de lojas oficiais e não permita instalações de fontes desconhecidas. As lojas oficiais executam verificações em todos os programas e, mesmo que o malware ainda se esconda, ele geralmente é removido imediatamente.

• Preste atenção nas permissões que os aplicativos pedem e se eles realmente precisam delas. Não tenha medo de negar permissões, especialmente as potencialmente perigosas, como acesso a chamadas, mensagens de texto, acessibilidade e assim por diante.

• Nunca forneça informações confidenciais por telefone. Funcionários de bancos verdadeiros nunca pedirão suas credenciais de login bancário, PINs, códigos de segurança do cartão ou de confirmação de SMS. Em caso de dúvida, acesse o site oficial do banco e descubra o que os funcionários podem e não podem perguntar.

• Instale uma solução robusta que proteja todos os seus dispositivos de Trojans bancários e outros malwares.