Los ciberdelincuentes presentan un malware cada vez más sofisticado. Por ejemplo, el año pasado presenciamos la aparición de un inusual troyano bancario de nombre Fakecalls que, además de las habituales funciones de espionaje, contaba con una capacidad muy interesante que le permitía “hablar” con la víctima haciéndose pasar por un empleado del banco. Existe poca información online sobre Fakecalls, por ello nos decidimos a arrojar algo de luz sobre sus capacidades.

Un troyano disfrazado

Fakecalls imita las aplicaciones móviles de los bancos más populares en Corea, entre ellos KB (Kookmin Bank) y KakaoBank. Curiosamente, además de los logotipos habituales, los creadores del troyano muestran en la pantalla de Fakecalls los números de soporte de los respectivos bancos. Estos números telefónicos parecen reales; por ejemplo, el 1599-3333 se puede encontrar en la página principal del sitio web oficial de KakaoBank.

El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)

Una vez instalado, el troyano pide de inmediato una gran cantidad de permisos, incluyendo el acceso a los contactos, el micrófono, la cámara, la geolocalización, el gestor de llamadas, y demás.

La llamada al banco

A diferencia de otros troyanos bancarios, Fakecalls es capaz de imitar conversaciones telefónicas de atención al cliente. Si la víctima llama a la línea directa del banco, el troyano interrumpe la conexión discretamente y abre su propia pantalla de llamada falsa en lugar de la aplicación de llamadas corriente. La llamada parece normal, pero la verdad es que ahora, quienes tienen el control son los atacantes.

Lo único capaz de revelar la identidad del troyano en esta etapa es la pantalla de llamada falsa. Fakecalls solo tiene un idioma en su interfaz: el coreano. Esto significa que, si el usuario tiene configurado otro idioma en el teléfono, por ejemplo, el inglés, es probable que sospeche algo.

La pantalla de la aplicación de llamadas estándar (izquierda) y la pantalla de llamadas falsa (derecha)

Después de interceptar la llamada, pueden suceder dos escenarios. En el primero, Fakecalls conecta directamente a la víctima con los ciberdelincuentes, ya que la aplicación tiene permiso para realizar llamadas salientes. En el segundo, el troyano reproduce un audio pregrabado imitando el saludo estándar del banco.

Fragmento de código de llamadas falsas que reproduce el audio grabado durante una llamada saliente

Para que el diálogo entre el troyano y la víctima sea realista, los ciberdelincuentes graban distintas frases (en coreano) que suelen pronunciar los empleados del buzón de voz o del centro de llamadas. Por ejemplo, la víctima podría escuchar algo como esto: “Hola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas está saturado. Un asesor se pondrá en contacto con usted a la brevedad. <…> Para mejorar la calidad del servicio, la conversación será grabada.” O: “Bienvenido a Kookmin Bank. Su conversación será grabada. En breves, un operador se pondrá en contacto con usted”.

Después, bajo la apariencia de un empleado del banco, los atacantes, pueden intentar obtener datos de pago u otra información confidencial de la víctima.

Además de las llamadas salientes, Fakecalls también puede falsificar llamadas entrantes. Cuando los ciberdelincuentes quieren contactar con la víctima, el troyano muestra su propia pantalla sobre la del sistema. Como resultado, el usuario no ve el número real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el número telefónico del servicio de ayuda del banco.

El kit de herramientas de spyware

Además de imitar el servicio telefónico de atención al cliente, Fakecalls presenta otras características que son típicas de los troyanos bancarios. Por ejemplo, bajo las órdenes de los atacantes, este malware puede prender el micrófono del teléfono de la víctima y enviar grabaciones desde a su servidor, así como transmitir audio y vídeo en tiempo real y en secreto desde el teléfono.

Pero esto no es todo. ¿Recuerdas los permisos que solicitó el troyano durante la instalación? Los ciberdelincuentes pueden usarlos para determinar la ubicación del dispositivo, copiar la lista de contactos o archivos (como fotos y vídeos) del teléfono a su servidor y acceder al historial de llamadas y mensajes de texto.

Estos permisos permiten que el malware no solo espíe al usuario, sino que también controle hasta cierto punto su dispositivo, lo que le concede al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial. Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.

Las soluciones de Kaspersky detectan este malware con el veredicto Trojan-Banker.AndroidOS.Fakecalls y protegen el dispositivo.

Cómo mantenerse protegido

Para evitar que tanto tus datos personales como tu dinero caigan en manos de los ciberdelincuentes, sigue estos simples consejos:

• Descarga las aplicaciones solamente de tiendas oficiales y no permitas la instalación desde fuentes desconocidas. Las tiendas oficiales verifican todos los programas y, aunque el malware se cuela de vez en vez, usualmente se elimina de inmediato.
• Pon atención a los permisos que solicitan las aplicaciones y si en verdad son necesarios. No sientas temor de denegar permisos, sobre todo aquellos potencialmente peligrosos como el acceso a las llamadas, los mensajes de texto, la accesibilidad, etc.
• Nunca proporciones información confidencial por teléfono. Un empleado real de un banco nunca te pedirá tu información de inicio de sesión de la banca online, el PIN, el código de seguridad de la tarjeta o un código de confirmación recibido por mensaje de texto. En caso de duda, dirígete al sitio web oficial del banco y averigua qué es lo que te pueden o no preguntar los empleados.
• Instala una solución sólida que proteja todos tus dispositivos de troyanos bancarios y otros tipos de malware.