El troyano bancario
está dirigido a bancos coreanos y es capaz de interceptar las llamadas entre
las víctimas y el banco.
A diferencia de
versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar
las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el
troyano recolecta en primer lugar información personal del usuario y la envía
al servidor de C&C. Posteriormente, el C&C responde con varios
parámetros de configuración, especificando entre otras cosas el número de
teléfono que será usado en el fraude:
- phoneNum_ChangeNum: El número
legítimo del banco, que será reemplazado por el número fraudulento cuando
el usuario haga la llamada.
- phoneNum_To: El número de
los atacantes que simulará ser el banco.
- phoneNum_Come: El número del
atacante que llamará a la víctima. Se falsificará el ID de la llamada.
- phoneNum_ShowNum: El número
legítimo del banco que se mostrará cuando los atacantes realizan la
llamada.
Cuando el usuario
llame a su entidad bancaria el malware interceptará la llamada y la redirigirá
a los atacantes. Y al contrario, cuando los atacantes simulen una llamada de la
entidad bancaria, suplantarán la identidad de ésta falsificando el ID de la
llamada.
De este modo los
atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.
No solo esto, el
malware también ha mejorado su sistema de permisos, ajustándose a las distintas
versiones de Android para conseguir pasar más inadvertido:
- Versiones
anteriores a Android 6 especificarán el permiso de
'android.permission.SYSTEM_ALERT_WINDOW' en el 'manifest' de la
aplicación, por lo que se notificará en la instalación.
- En Android 6 y 7
los permisos se conceden de forma silenciosa si se declaran en el
'manifest' y la aplicación proviene de Google Play.
- A partir de la
versión 8 de Android ya no se permite superponer ventanas desde
aplicaciones, por lo tanto el malware no funcionaría.
Como recomendaciones
de seguridad se recomienda siempre instalar aplicaciones de repositorios
oficiales y poner especial atención a los permisos que se solicitan.
Más información:
- New Fakebank Variant Intercepts Calls to Connect
Banking Users to Scammers https://www.symantec.com/blogs/threat-intelligence/fakebank-intercepts-calls-banks
- Android.Fakebank https://www.symantec.com/security-center/writeup/2013-071813-2448-99
Fuente: Hispasec