{"id":19280,"date":"2022-04-14T09:40:34","date_gmt":"2022-04-14T12:40:34","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19280"},"modified":"2022-04-14T09:40:34","modified_gmt":"2022-04-14T12:40:34","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/fakecalls-banking-trojan\/19280\/","title":{"rendered":"Fakecalls: conhe\u00e7a o Trojan que imita liga\u00e7\u00f5es telef\u00f4nicas"},"content":{"rendered":"

Os cibercriminosos est\u00e3o sempre criando malwares, cada vez mais sofisticados. No ano passado, por exemplo, surgiu um Trojan banc\u00e1rio incomum chamado Fakecalls. Al\u00e9m dos recursos usuais de espionagem, ele possui uma interessante capacidade de \u201cconversar\u201d com a v\u00edtima disfar\u00e7ada de funcion\u00e1rio do banco. H\u00e1 pouca informa\u00e7\u00e3o sobre o Fakecalls online, ent\u00e3o decidimos esclarecer suas capacidades e perigos.<\/p>\n

Trojan disfar\u00e7ado<\/h2>\n

O Fakecalls imita a interface dos aplicativos m\u00f3veis de bancos populares da Cor\u00e9ia do Sul, entre eles o KB (Kookmin Bank) e o KakaoBank. Curiosamente, al\u00e9m dos logotipos usuais, os criadores do Trojan exibem os n\u00fameros de suporte dos respectivos bancos na tela do Fakecalls. Esses n\u00fameros de telefone parecem ser reais \u2013 o n\u00famero 1599-3333, por exemplo, pode ser encontrado na p\u00e1gina principal do site oficial do KakaoBank.<\/p>\n

\"\"

O Trojan imita os apps dos bancos KB (\u00e0 esquerda) e KakaoBank (\u00e0 direita)<\/p><\/div>\n

Quando instalado, o Trojan solicita imediatamente uma s\u00e9rie de permiss\u00f5es, incluindo acesso a contatos, microfone e c\u00e2mera, geolocaliza\u00e7\u00e3o, controle de chamadas e v\u00e1rias outras.<\/p>\n

Liga\u00e7\u00e3o para o banco<\/h2>\n

Ao contr\u00e1rio de outros Trojans banc\u00e1rios, o Fakecalls pode imitar conversas telef\u00f4nicas de suporte ao cliente. Se a v\u00edtima ligar para a linha direta do banco, o Trojan interrompe discretamente a conex\u00e3o e abre sua pr\u00f3pria tela de chamada falsa em vez do aplicativo de chamada normal. A chamada parece normal, mas na verdade quem est\u00e1 no controle s\u00e3o os invasores.<\/p>\n

A \u00fanica coisa que pode revelar o Trojan neste est\u00e1gio \u00e9 a tela de chamada falsa. O Fakecalls tem apenas um idioma de interface: coreano. Isso significa que, se outro idioma do sistema for selecionado no telefone \u2013 digamos, ingl\u00eas \u2013 a v\u00edtima provavelmente vai perceber que tem algo de errado.<\/p>\n

\"\"

A tela padr\u00e3o do app de chamadas (\u00e0 esquerda) e a tela do Fakecalls (\u00e0 direita)<\/p><\/div>\n

Ap\u00f3s a chamada ser interceptada, existem dois cen\u00e1rios poss\u00edveis. No primeiro, o Fakecalls conecta a v\u00edtima diretamente aos cibercriminosos, j\u00e1 que o app tem permiss\u00e3o para fazer chamadas. No segundo, o Trojan reproduz um \u00e1udio pr\u00e9-gravado imitando a sauda\u00e7\u00e3o padr\u00e3o do banco.<\/p>\n

\"\"

O c\u00f3digo fragmentado do Fakecalls toca um \u00e1udio pr\u00e9-gravado durante uma chamada<\/p><\/div>\n

Para que o Trojan mantenha um di\u00e1logo realista com a v\u00edtima, os cibercriminosos gravaram v\u00e1rias frases (em coreano) normalmente pronunciadas em correio de voz ou por funcion\u00e1rios da central de atendimento. Por exemplo, a v\u00edtima pode ouvir algo do tipo: \u201cOl\u00e1. Obrigado por ligar para o KakaoBank. Nossa central telef\u00f4nica est\u00e1 recebendo um volume maior de chamadas. Um consultor falar\u00e1 com voc\u00ea o mais r\u00e1pido poss\u00edvel. <\u2026> Para melhorar a qualidade do servi\u00e7o, sua conversa ser\u00e1 gravada.\u201d Ou: \u201cBem-vindo ao Kookmin Bank. Sua conversa ser\u00e1 gravada. Agora vamos transferir sua liga\u00e7\u00e3o para um atendente.\u201d<\/p>\n

Na sequ\u00eancia, os invasores, disfar\u00e7ados de funcion\u00e1rio do banco, podem tentar obter dados de pagamento ou outras informa\u00e7\u00f5es confidenciais da v\u00edtima.<\/p>\n

Al\u00e9m interceptar chamadas realizadas, o Fakecalls tamb\u00e9m pode falsificar as chamadas recebidas. Quando os cibercriminosos querem entrar em contato com a v\u00edtima, o Trojan exibe sua pr\u00f3pria tela sobre a do sistema. Desta forma, o usu\u00e1rio n\u00e3o v\u00ea o n\u00famero real usado pelos cibercriminosos, mas aquele que o Trojan quer exibir, como o n\u00famero de telefone do servi\u00e7o de suporte do banco.<\/p>\n

As ferramentas de Spyware<\/h2>\n

Al\u00e9m de imitar o suporte ao cliente por telefone, o Fakecalls possui outros recursos t\u00edpicos de Trojans banc\u00e1rios. Por exemplo: sob o comando dos invasores, o malware pode ativar o microfone do telefone da v\u00edtima e enviar grava\u00e7\u00f5es para seus servidores, al\u00e9m de transmitir \u00e1udio e v\u00eddeo secretamente do telefone em tempo real.<\/p>\n

E isso n\u00e3o \u00e9 tudo. Voc\u00ea se lembra das permiss\u00f5es que o Trojan pediu durante a instala\u00e7\u00e3o? Os cibercriminosos podem us\u00e1-las para determinar a localiza\u00e7\u00e3o do dispositivo, copiar a lista de contatos ou arquivos (incluindo fotos e v\u00eddeos) do telefone para seus servidores e at\u00e9 acessar o hist\u00f3rico de chamadas e de mensagens de texto.<\/p>\n

Essas permiss\u00f5es permitem que o malware n\u00e3o apenas espione o usu\u00e1rio, mas tamb\u00e9m controle seu dispositivo at\u00e9 certo ponto, dando ao Trojan a capacidade de descartar chamadas recebidas e exclu\u00ed-las do hist\u00f3rico. Isso permite que os golpistas, entre outras coisas, bloqueiem e ocultem chamadas reais de bancos.<\/p>\n

As solu\u00e7\u00f5es da Kaspersky detectam esse malware como Trojan-Banker.AndroidOS.Fakecalls, <\/em>e protege o dispositivo<\/p>\n

Mantenha-se protegido<\/h2>\n

Para proteger seus dados pessoais e evitar que seu dinheiro acabe caindo nas m\u00e3os de cibercriminosos, siga essas dicas simples:<\/p>\n