Il malware Android chiamato “FakeCalls” sta nuovamente circolando in Corea del Sud, cercando di ingannare i banchieri affinché rivelino i dettagli delle loro carte di credito. Il malware viene distribuito su false app bancarie che impersonano grandi istituzioni finanziarie in Corea, quindi le vittime pensano di utilizzare un’app legittima da un venditore affidabile. L’attacco inizia con l’app che offre al bersaglio un prestito con un tasso di interesse basso. Una volta che la vittima è interessata, il malware inizia una chiamata telefonica che riproduce una registrazione del vero servizio clienti della banca con istruzioni per approvare la richiesta di prestito. A un certo punto, la vittima viene ingannata a confermare i dettagli della propria carta di credito, suppostamente richiesti per ricevere il prestito, che vengono poi rubati dagli attaccanti.

Il malware FakeCalls ha usato più di 2500 campioni che hanno utilizzato una varietà di combinazioni di organizzazioni finanziarie simulate e tecniche anti-analisi implementate. Gli sviluppatori del malware hanno prestato particolare attenzione alla protezione del loro malware, utilizzando diverse elusioni uniche che non erano state viste in precedenza.

Le ultime versioni di FakeCalls incorporano tre nuove tecniche che lo aiutano ad eludere la rilevazione. La prima tecnica si chiama “multi-disk”, che implica la manipolazione dei dati dell’intestazione ZIP del file APK, impostando valori anormalmente alti per confondere gli strumenti di analisi automatica. La seconda tecnica di elusione comporta la manipolazione del file AndroidManifest.xml per rendere indistinguibile il marcatore di avvio, modificare la struttura delle stringhe e degli stili e manomettere l’offset dell’ultima stringa per causare un’interpretazione errata. Infine, il terzo metodo di elusione consiste nell’aggiungere molti file all’interno di directory nascoste all’interno della cartella degli asset dell’APK, creando nomi di file e percorsi che superano i 300 caratteri.

Il vishing è un problema costoso per i cittadini della Corea del Sud, come dimostrano le statistiche del governo sudcoreano, che indicano che nel solo 2020 le vittime hanno subito una perdita di 600 milioni di dollari, mentre tra il 2016 e il 2020 sono stati segnalati 170.000 casi di truffa. Sebbene FakeCalls sia rimasto confinato alla Corea del Sud, i suoi sviluppatori o affiliati potrebbero facilmente espandere le loro operazioni ad altre regioni se sviluppassero nuovi kit di lingua e sovrimpressioni di app per mirare a banche in diversi paesi. Con l’aumento dei modelli di discorso di apprendimento automatico che possono generare discorsi naturali e imitare le voci di persone reali, la minaccia del vishing è destinata ad aumentare nel prossimo futuro.

L’azienda di sicurezza informatica Morphisec ha rivelato i dettagli di un malware chiamato Sys01 Stealer, che ha come obiettivo gli account Facebook di importanti impiegati del governo. Il malware viene distribuito tramite annunci Google e falsi account Facebook che promuovono contenuti per adulti, giochi e software crackati. Una volta eseguito sulla macchina della vittima tramite DLL side-loading, il malware è in grado di estrarre informazioni sensibili come le credenziali, i cookie e i dati degli account pubblicitari e commerciali su Facebook. Il malware è in grado di rimanere indetettabile grazie all’uso di Rust, Python, PHP e PHP advanced encoders e, inoltre, utilizza una campagna di social engineering per attirare le vittime a cliccare su URL dannosi. Per prevenire Sys01 Stealer, Morphisec consiglia di implementare una politica di zero-trust e di limitare i diritti degli utenti nel download e nell’installazione di programmi. Inoltre, è importante formare gli utenti per riconoscere le tattiche di ingegneria sociale utilizzate dagli attaccanti.

Il sindaco della città polacca di Sopot, Jacek Karnowski, sarebbe stato monitorato dai servizi di sicurezza del paese tramite il controverso spyware Pegasus. Karnowski, che si oppone al partito al governo, Law and Justice (PiS), avrebbe visto i suoi dispositivi accessi in quello che è l’ultimo scandalo di sorveglianza apparentemente portato avanti dai servizi di sicurezza polacchi su ordine del governo, il quale nega ogni responsabilità.

Secondo il quotidiano polacco Gazeta Wyborcza, i dettagli di Karnowski sono stati trovati in una lista di individui monitorati resa disponibile a diversi media. Sempre secondo il quotidiano, i dispositivi del sindaco sarebbero stati intercettati tra dieci e venti volte tra il 2018 e il 2019, quando lavorava per il partito di opposizione al Senato polacco, la camera alta del parlamento.

Karnowski, che attualmente guida una coalizione di sindaci polacchi che avrebbe intenzione di opporsi a PiS nelle prossime elezioni parlamentari, ha commentato le rivelazioni dichiarando: “Si tratta di una violazione della privacy e della dignità umana. Coloro che hanno monitorato i propri avversari politici dovrebbero essere portati davanti al Tribunale dello Stato.”

Il sindaco è uno dei molti politici legati all’opposizione del Partito di Piattaforma Civica che sarebbero stati spiati in vista delle precedenti elezioni del 2019. Tra loro figurano l’ex senatore dell’opposizione Kryzsztof Brejza, l’insolita procuratrice Ewa Wrosek e Roman Giertych, un avvocato che rappresentava i leader senior del partito di Brejza.

PiS ha costantemente negato ogni coinvolgimento, ma in seguito alle rivelazioni si è scoperto che la Polonia aveva acquistato Pegasus. L’uso non autorizzato del software, prodotto dalla NSO Group, da parte di regimi autoritari in tutto il mondo per spiare giornalisti, attivisti e oppositori, ha suscitato polemiche. Nel 2021, la NSO Group ha revocato il diritto di utilizzare Pegasus da parte del governo polacco.