¿Sabías que simplemente al llamar a tu banco podrías estar exponiendo tu información financiera a hackers? La última versión del malware FakeCall para Android ha llevado las estafas a otro nivel. Ahora, este software malicioso puede interceptar las llamadas que haces a tu banco y redirigirlas al número del atacante, sin que te des cuenta. ¿El objetivo? Robar información confidencial y vaciar tus cuentas bancarias.
FakeCall, también conocido como FakeCalls, es un troyano bancario especializado en “phishing de voz”. Básicamente, se trata de engañar a las víctimas con llamadas falsas, donde los atacantes se hacen pasar por representantes del banco y les piden que compartan datos sensibles. Así, muchas personas terminan entregando su información sin saber que están hablando con un estafador y no con su banco de confianza.
Kaspersky alertó por primera vez sobre el troyano FakeCall en abril de 2022, cuando descubrieron que este malware mostraba pantallas de llamada muy realistas para engañar a la gente, haciéndoles creer que estaban hablando con su banco.
Luego, en marzo de 2023, CheckPoint lanzó otro informe sobre FakeCall y reveló que ahora este malware se hacía pasar por más de 20 bancos y otras instituciones financieras. Incluso ofrecía falsos préstamos con intereses bajos para atraer a sus víctimas. Además, había mejorado su capacidad para evitar ser detectado por los sistemas de seguridad.
Pero eso no es todo: aparte de su habilidad para hacer “vishing” (o phishing de voz), FakeCall también puede acceder al audio y video en vivo de los dispositivos infectados. Esto significa que los atacantes podrían espiar y robar información sensible sin que la víctima se dé cuenta o tenga que hacer algo.
Secuestro de Llamadas: Cómo FakeCall engaña a las víctimas
En sus primeras versiones, el malware FakeCall se hacía pasar por una app bancaria, pidiéndole a los usuarios que llamaran al banco desde la aplicación. Mientras la llamada se conectaba, mostraba una pantalla falsa con el número real del banco para hacer que la víctima confiara, aunque en realidad estaba hablando con estafadores.
La última versión, ha llevado el engaño a un nivel mucho más alto. Ahora, el malware solicita al usuario que lo configure como el controlador de llamadas predeterminado en su dispositivo Android. Esto ocurre al instalar la app maliciosa desde un archivo APK, y la solicitud puede pasar desapercibida para muchos usuarios, ya que parece una simple configuración más.
El controlador de llamadas en Android es la interfaz que gestiona todas las llamadas, tanto las que haces como las que recibes. Al hacerse pasar por el controlador de llamadas, FakeCall obtiene el poder de interceptar y manipular estas comunicaciones, permitiéndole mostrar una pantalla falsa que imita al marcador de Android y mostrando nombres y números de contacto que parecen confiables.
Así es como este malware logra engañar a los usuarios. Cuando alguien intenta llamar a su banco, FakeCall secuestra la llamada en silencio y la redirige a un número controlado por los atacantes. La víctima ve el nombre y número de su banco en pantalla, pero en realidad está conectada a un estafador.
Como explica el informe de una empresa de seguridad (Zimperium), "la aplicación maliciosa engaña al usuario mostrando una interfaz de llamada falsa que parece auténtica, con el número de teléfono real del banco". La víctima no sospecha nada, ya que toda la experiencia se ve legítima. Esto permite a los atacantes extraer información confidencial o incluso acceder a las cuentas bancarias de la víctima sin que se dé cuenta.
Conoce más sobre: ¿Cuáles Son los Tipos de Ataques de Phishing y Cómo Protegerte?
Nuevas funciones y mejoras en FakeCall
Las versiones más recientes de FakeCall han incorporado nuevas funciones y mejoras en sus técnicas de ataque, aunque algunas de ellas aún están en fase de desarrollo. A pesar de que el código del malware es más complejo de analizar, se han detectado varios cambios que lo hacen aún más peligroso.
Para empezar, FakeCall ahora incluye un "escucha de Bluetooth" y un "monitor de estado de pantalla", aunque por el momento no parecen tener funciones maliciosas activas.
Lo que sí está plenamente operativo es su uso del Servicio de Accesibilidad de Android, que le otorga al malware un mayor control sobre la interfaz del dispositivo. Esto le permite monitorear lo que haces en el marcador de llamadas, otorgarse permisos automáticamente y simular toques y gestos como si fuera el propio usuario.
Además, FakeCall ha sumado un servicio de "escucha telefónica" que le permite comunicarse con el servidor de control de los atacantes. Esto le da la capacidad de ejecutar varios comandos de forma remota, como rastrear la ubicación del dispositivo, eliminar aplicaciones, grabar audio o video y hasta modificar la lista de contactos.
Algunas de las nuevas capacidades de FakeCall incluyen:
- Configurarse automáticamente como el controlador de llamadas predeterminado.
- Transmitir en vivo el contenido de la pantalla del dispositivo.
- Tomar capturas de pantalla.
- Desbloquear el dispositivo y desactivar temporalmente el bloqueo automático.
- Usar servicios de accesibilidad para simular la pulsación del botón de inicio.
- Borrar imágenes específicas según las órdenes del servidor.
- Acceder, comprimir y cargar imágenes desde la carpeta de fotos (DCIM).
Podría interesarte leer: ¿Qué es un Virus Troyano?
Estos cambios demuestran que FakeCall sigue en constante desarrollo, y los operadores del malware están trabajando para convertirlo en un troyano bancario cada vez más sofisticado y difícil de detectar.
Zimperium ha publicado una lista de "indicadores de compromiso" (IoC), que incluye nombres de paquetes de apps y sumas de comprobación de archivos APK para ayudar a los usuarios a evitar instalar apps infectadas. Sin embargo, los ciberdelincuentes suelen cambiar estos detalles con frecuencia para evadir detección.
Como siempre, se recomienda evitar la instalación de aplicaciones a través de archivos APK y descargar solo desde Google Play. Aunque este tipo de malware a veces logra pasar los filtros de seguridad de Google, Play Protect generalmente lo detecta y elimina una vez que se reporta.