Fakecalls: un troyano que habla

Los ciberdelincuentes cada vez presentan un malware más sofisticado. Por ejemplo, el año pasado fuimos testigos de la aparición de un troyano bancario inusual llamado Fakecalls que, además de las funciones habituales de espionaje, contaba con una interesante capacidad que le permitía “hablar” con la víctima bajo la apariencia de un empleado del banco. Hay poca información sobre Fakecalls online, por ello nos hemos decidido a arrojar algo de luz sobre sus capacidades.

Un troyano disfrazado

Fakecalls imita las aplicaciones móviles de los bancos coreanos más populares, entre ellos KB (Kookmin Bank) y KakaoBank. Curiosamente, además de los logotipos habituales, los creadores del troyano muestran en la pantalla de Fakecalls los números de soporte de los respectivos bancos. Estos números de teléfono parecen reales; por ejemplo, el 1599-3333 se puede encontrar en la página principal del sitio web oficial de KakaoBank.

El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)]

Una vez instalado, el troyano solicita de inmediato una gran cantidad de permisos, incluido el acceso a los contactos, el micrófono, la cámara, la geolocalización, el gestor de llamadas, etc.

La llamada al banco

A diferencia de otros troyanos bancarios, Fakecalls puede imitar conversaciones telefónicas con atención al cliente. Si la víctima llama a la línea directa del banco, el troyano interrumpe discretamente la conexión y abre su propia pantalla de llamada falsa en lugar de la aplicación de llamadas corriente. La llamada parece normal, pero lo cierto es que ahora son los atacantes los que tienen el control.

Lo único que podría revelar al troyano en esta etapa es la pantalla de llamada falsa. Fakecalls tiene un solo idioma de interfaz: el coreano. Esto significa que, si el usuario tiene configurado otro idioma en el teléfono, por ejemplo, el inglés, es probable que acabe sospechando.

La pantalla de la aplicación de llamadas estándar (izquierda) y la pantalla de llamadas falsa (derecha)

Después de que se intercepte la llamada, pueden darse dos situaciones. En la primera, Fakecalls conecta directamente a la víctima con los ciberdelincuentes, ya que la aplicación tiene permiso para realizar llamadas salientes. En la segunda, el troyano reproduce un audio pregrabado imitando el saludo estándar del banco.

Fragmento de código de llamadas falsas que reproduce el audio grabado durante una llamada saliente

Para que el troyano mantenga un diálogo realista con la víctima, los ciberdelincuentes graban varias frases (en coreano) que suelen pronunciar los empleados del buzón de voz o del centro de llamadas.

Por ejemplo, la víctima podría escuchar algo como esto: “Hola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas está saturado. Un asesor se pondrá en contacto con usted lo antes posible. <…> Para mejorar la calidad del servicio, la conversación será grabada.” O: “Bienvenido a Kookmin Bank. Su conversación será grabada. En breves instantes un operador se pondrá en contacto con usted”.

Después, los atacantes, bajo la apariencia de un empleado del banco, pueden intentar obtener datos de pago u otra información confidencial de la víctima.

Además de las llamadas salientes, Fakecalls también puede falsificar llamadas entrantes. Cuando los ciberdelincuentes quieren contactar con la víctima, el troyano muestra su propia pantalla sobre la del sistema. Como resultado, el usuario no ve el número real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el número de teléfono del servicio de soporte del banco.

El kit de herramientas de spyware

Además de imitar la asistencia telefónica al cliente, Fakecalls presenta otras características más típicas de los troyanos bancarios. Por ejemplo, bajo las órdenes de los atacantes, este malware puede encender el micrófono del teléfono de la víctima y enviar grabaciones desde él a su servidor, así como transmitir audio y vídeo en secreto desde el teléfono en tiempo real.

Pero eso no es todo. ¿Recuerdas los permisos que solicitó el troyano durante la instalación? Los ciberdelincuentes pueden usarlos para determinar la ubicación del dispositivo, copiar la lista de contactos o archivos (incluidas fotos y vídeos) del teléfono a su servidor y acceder al historial de llamadas y mensajes de texto.

Estos permisos permiten que el malware no solo espíe al usuario, sino que también controle su dispositivo hasta cierto punto, lo que le concede al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial.

Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.

Las soluciones de Kaspersky detectan este malware con el veredicto Trojan-Banker.AndroidOS.Fakecalls y protegen el dispositivo.

Cómo mantenerse protegido

Para evitar que tanto tus datos personales como tu dinero caigan en manos de los ciberdelincuentes, sigue estos sencillos consejos:

• Descarga las aplicaciones exclusivamente de tiendas oficiales y no permitas la instalación desde fuentes desconocidas. Las tiendas oficiales verifican todos los programas y, aunque el malware se cuela de vez en cuando, generalmente se elimina de inmediato.
• Presta atención a los permisos que solicitan las aplicaciones y si realmente los necesitan. Que no te dé miedo denegar permisos, sobre todo aquellos potencialmente peligrosos como el acceso a las llamadas, los mensajes de texto, la accesibilidad, etc.
• Nunca concedas información confidencial por teléfono. Un auténtico empleado de un banco nunca te pediría tus credenciales de inicio de sesión de la banca online, el PIN, el código de seguridad de la tarjeta o un código de confirmación recibido por mensaje de texto. En caso de duda, dirígete al sitio web oficial del banco y averigua qué podrían o no preguntar los empleados.
• Instala una solución sólida que proteja todos tus dispositivos de troyanos bancarios y otros tipos de malware.