Il malware Android chiamato “FakeCalls” sta nuovamente circolando in Corea del Sud, cercando di ingannare i banchieri affinché rivelino i dettagli delle loro carte di credito. Il malware viene distribuito su false app bancarie che impersonano grandi istituzioni finanziarie in Corea, quindi le vittime pensano di utilizzare un’app legittima da un venditore affidabile. L’attacco inizia con l’app che offre al bersaglio un prestito con un tasso di interesse basso. Una volta che la vittima è interessata, il malware inizia una chiamata telefonica che riproduce una registrazione del vero servizio clienti della banca con istruzioni per approvare la richiesta di prestito. A un certo punto, la vittima viene ingannata a confermare i dettagli della propria carta di credito, suppostamente richiesti per ricevere il prestito, che vengono poi rubati dagli attaccanti.
Il malware FakeCalls ha usato più di 2500 campioni che hanno utilizzato una varietà di combinazioni di organizzazioni finanziarie simulate e tecniche anti-analisi implementate. Gli sviluppatori del malware hanno prestato particolare attenzione alla protezione del loro malware, utilizzando diverse elusioni uniche che non erano state viste in precedenza.
Le ultime versioni di FakeCalls incorporano tre nuove tecniche che lo aiutano ad eludere la rilevazione. La prima tecnica si chiama “multi-disk”, che implica la manipolazione dei dati dell’intestazione ZIP del file APK, impostando valori anormalmente alti per confondere gli strumenti di analisi automatica. La seconda tecnica di elusione comporta la manipolazione del file AndroidManifest.xml per rendere indistinguibile il marcatore di avvio, modificare la struttura delle stringhe e degli stili e manomettere l’offset dell’ultima stringa per causare un’interpretazione errata. Infine, il terzo metodo di elusione consiste nell’aggiungere molti file all’interno di directory nascoste all’interno della cartella degli asset dell’APK, creando nomi di file e percorsi che superano i 300 caratteri.
Il vishing è un problema costoso per i cittadini della Corea del Sud, come dimostrano le statistiche del governo sudcoreano, che indicano che nel solo 2020 le vittime hanno subito una perdita di 600 milioni di dollari, mentre tra il 2016 e il 2020 sono stati segnalati 170.000 casi di truffa. Sebbene FakeCalls sia rimasto confinato alla Corea del Sud, i suoi sviluppatori o affiliati potrebbero facilmente espandere le loro operazioni ad altre regioni se sviluppassero nuovi kit di lingua e sovrimpressioni di app per mirare a banche in diversi paesi. Con l’aumento dei modelli di discorso di apprendimento automatico che possono generare discorsi naturali e imitare le voci di persone reali, la minaccia del vishing è destinata ad aumentare nel prossimo futuro.
