Fakebank, el troyano bancario que intercepta tus llamadas
El
troyano bancario está dirigido a bancos coreanos y es capaz de interceptar las
llamadas entre las víctimas y el banco.
A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:
Cuando
el usuario llame a su entidad bancaria el malware interceptará la llamada y la
redirigirá a los atacantes. Y al contrario, cuando los atacantes simulen una
llamada de la entidad bancaria, suplantarán la identidad de ésta falsificando el
ID de la llamada.
De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.
No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:
Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.
A diferencia de versiones anteriores de Fakebank, esta nueva variante es capaz de interceptar las llamadas entre el usuario y su entidad bancaria y viceversa. Para ello, el troyano recolecta en primer lugar información personal del usuario y la envía al servidor de C&C. Posteriormente, el C&C responde con varios parámetros de configuración, especificando entre otras cosas el número de teléfono que será usado en el fraude:
- phoneNum_ChangeNum: El número legítimo del banco, que será reemplazado por el número fraudulento cuando el usuario haga la llamada.
- phoneNum_To: El número de los atacantes que simulará ser el banco.
- phoneNum_Come: El número del atacante que llamará a la víctima. Se falsificará el ID de la llamada.
- phoneNum_ShowNum: El número legítimo del banco que se mostrará cuando los atacantes realizan la llamada.
Parámetros de configuración del malware. Fuente: https://www.symantec.com |
De este modo los atacantes tienen un mecanismo bastante efectivo para engañar a sus víctimas.
No solo esto, el malware también ha mejorado su sistema de permisos, ajustándose a las distintas versiones de Android para conseguir pasar más inadvertido:
- Versiones anteriores a Android 6 especificarán el permiso de 'android.permission.SYSTEM_ALERT_WINDOW' en el 'manifest' de la aplicación, por lo que se notificará en la instalación.
- En Android 6 y 7 los permisos se conceden de forma silenciosa si se declaran en el 'manifest' y la aplicación proviene de Google Play.
- A partir de la versión 8 de Android ya no se permite superponer ventanas desde aplicaciones, por lo tanto el malware no funcionaría.
Configuraciones específicas para diferentes pantallas. Fuente: https://www.symantec.com |
Como recomendaciones de seguridad se recomienda siempre instalar aplicaciones de repositorios oficiales y poner especial atención a los permisos que se solicitan.
Fuente: Hispasec
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios