Zimperium, nota azienda dedicata alla sicurezza informatica, ha scoperto un pericoloso ritorno. FakeCall ha fatto nuovamente capolino mettendo in pericolo tutti gli utenti con smartphone e dispositivi Android. Questo pericoloso malware era stato scoperto inizialmente da Kaspersky nel 2022. Poi, a marzo 2023, CheckPoint notò che aveva ripreso la scena.
Quello che rende pericolosissimo FakeCall è la sua capacità di intercettare le chiamate in entrata e in uscita trasferendole al numero del cybercriminali. L’obiettivo è quello di deviare la telefonata di una banca al criminale che si finge un dipendente della stessa. In questo modo convince la vittima a fornire i suoi dati, inclusi dettagli di pagamento e credenziali di accesso al conto corrente.
Infatti, i ricercatori di Zimperium, in merito a questo malware che si diffonde sui dispositivi Android, hanno spiegato: “FakeCall è un attacco Vishing estremamente sofisticato che sfrutta il malware per prendere il controllo quasi completo del dispositivo mobile, inclusa l’intercettazione delle chiamate in entrata e in uscita“.
“Le vittime – proseguono gli esperti nel loro rapporto – vengono ingannate e convinte a chiamare numeri di telefono fraudolenti controllati dall’aggressore e a imitare la normale esperienza utente sul dispositivo“. Ma come avviene l’infezione dei dispositivi?
FakeCall: come avviene l’infezione sui dispositivi Android
Gli esperti di Zimperium hanno spiegato anche come avviene l’infezione di FakeCall: “L’attacco inizia solitamente quando le vittime scaricano un file APK su un dispositivo mobile Android tramite un attacco di phishing, agendo come un dropper. La funzione principale del dropper è installare il payload dannoso effettivo (la seconda fase) sul dispositivo della vittima. I campioni che abbiamo identificato appartengono a questo malware di seconda fase“.
In pratica tutto ha inizio da un’app APK che viene scaricata sullo smartphone, Questa applicazione, presentandosi come dialer del telefono, ne prende il possesso sostituendo quella predefinita. L’inganno all’utente avviene tramite una serie di messaggi tra malware e un server di comando e controllo. Successivamente l’utente diventa vittima di attacchi vishing e voice cloning.