{"id":24650,"date":"2022-04-18T13:03:05","date_gmt":"2022-04-18T19:03:05","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24650"},"modified":"2022-04-18T13:08:13","modified_gmt":"2022-04-18T19:08:13","slug":"fakecalls-banking-trojan","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fakecalls-banking-trojan\/24650\/","title":{"rendered":"Fakecalls: un troyano que habla"},"content":{"rendered":"

Los ciberdelincuentes presentan un malware<\/em>\u00a0cada vez m\u00e1s sofisticado. Por ejemplo, el a\u00f1o pasado presenciamos la aparici\u00f3n de un inusual troyano bancario de nombre Fakecalls que, adem\u00e1s de las habituales funciones de espionaje, contaba con una capacidad muy interesante que le permit\u00eda \u201chablar\u201d con la v\u00edctima haci\u00e9ndose pasar por un empleado del banco. Existe poca informaci\u00f3n online sobre Fakecalls, por ello nos decidimos a arrojar algo de luz sobre sus capacidades.<\/p>\n

Un troyano disfrazado<\/h1>\n

Fakecalls imita las aplicaciones m\u00f3viles de los bancos m\u00e1s populares en Corea, entre ellos KB (Kookmin Bank) y KakaoBank. Curiosamente, adem\u00e1s de los logotipos habituales, los creadores del troyano muestran en la pantalla de Fakecalls los n\u00fameros de soporte de los respectivos bancos. Estos n\u00fameros telef\u00f3nicos parecen reales; por ejemplo, el 1599-3333 se puede encontrar en la p\u00e1gina principal del sitio web oficial de KakaoBank.<\/p>\n

\"\"El troyano imita las aplicaciones bancarias KB (izquierda) y KakaoBank (derecha)<\/strong><\/p>\n

\u00a0<\/p>\n

Una vez instalado, el troyano pide de inmediato una gran cantidad de permisos, incluyendo el acceso a los contactos, el micr\u00f3fono, la c\u00e1mara, la geolocalizaci\u00f3n, el gestor de llamadas, y dem\u00e1s.<\/p>\n

La llamada al banco<\/h1>\n

A diferencia de otros troyanos bancarios, Fakecalls es capaz de imitar conversaciones telef\u00f3nicas de atenci\u00f3n al cliente. Si la v\u00edctima llama a la l\u00ednea directa del banco, el troyano interrumpe la conexi\u00f3n discretamente y abre su propia pantalla de llamada falsa en lugar de la aplicaci\u00f3n de llamadas corriente. La llamada parece normal, pero la verdad es que ahora, quienes tienen el control son los atacantes.<\/p>\n

Lo \u00fanico capaz de revelar la identidad del troyano en esta etapa es la pantalla de llamada falsa. Fakecalls solo tiene un idioma en su interfaz: el coreano. Esto significa que, si el usuario tiene configurado otro idioma en el tel\u00e9fono, por ejemplo, el ingl\u00e9s, es probable que sospeche algo.<\/p>\n

\"\"La pantalla de la aplicaci\u00f3n de llamadas est\u00e1ndar (izquierda) y la pantalla de llamadas falsa (derecha)<\/strong><\/p>\n

\u00a0<\/p>\n

Despu\u00e9s de interceptar la llamada, pueden suceder dos escenarios. En el primero, Fakecalls conecta directamente a la v\u00edctima con los ciberdelincuentes, ya que la aplicaci\u00f3n tiene permiso para realizar llamadas salientes. En el segundo, el troyano reproduce un audio pregrabado imitando el saludo est\u00e1ndar del banco.<\/p>\n

\"\"Fragmento de c\u00f3digo de llamadas falsas que reproduce el audio grabado durante una llamada saliente<\/strong><\/p>\n

\u00a0<\/p>\n

Para que el di\u00e1logo entre el troyano y la v\u00edctima sea realista, los ciberdelincuentes graban distintas frases (en coreano) que suelen pronunciar los empleados del buz\u00f3n de voz o del centro de llamadas. Por ejemplo, la v\u00edctima podr\u00eda escuchar algo como esto: \u201cHola. Gracias por llamar a KakaoBank. Nuestro centro de llamadas est\u00e1 saturado. Un asesor se pondr\u00e1 en contacto con usted a la brevedad. <\u2026> Para mejorar la calidad del servicio, la conversaci\u00f3n ser\u00e1 grabada.\u201d O: \u201cBienvenido a Kookmin Bank. Su conversaci\u00f3n ser\u00e1 grabada. En breves, un operador se pondr\u00e1 en contacto con usted\u201d.<\/p>\n

Despu\u00e9s, bajo la apariencia de un empleado del banco, los atacantes, pueden intentar obtener datos de pago u otra informaci\u00f3n confidencial de la v\u00edctima.<\/p>\n

Adem\u00e1s de las llamadas salientes, Fakecalls tambi\u00e9n puede falsificar llamadas entrantes. Cuando los ciberdelincuentes quieren contactar con la v\u00edctima, el troyano muestra su propia pantalla sobre la del sistema. Como resultado, el usuario no ve el n\u00famero real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el n\u00famero telef\u00f3nico del servicio de ayuda del banco.<\/p>\n

El kit de herramientas de spyware<\/em><\/h1>\n

Adem\u00e1s de imitar el servicio telef\u00f3nico de atenci\u00f3n al cliente, Fakecalls presenta otras caracter\u00edsticas que son t\u00edpicas de los troyanos bancarios. Por ejemplo, bajo las \u00f3rdenes de los atacantes, este malware<\/em>\u00a0puede prender el micr\u00f3fono del tel\u00e9fono de la v\u00edctima y enviar grabaciones desde a su servidor, as\u00ed como transmitir audio y v\u00eddeo en tiempo real y en secreto desde el tel\u00e9fono.<\/p>\n

Pero esto no es todo. \u00bfRecuerdas los permisos que solicit\u00f3 el troyano durante la instalaci\u00f3n? Los ciberdelincuentes pueden usarlos para determinar la ubicaci\u00f3n del dispositivo, copiar la lista de contactos o archivos (como fotos y v\u00eddeos) del tel\u00e9fono a su servidor y acceder al historial de llamadas y mensajes de texto.<\/p>\n

Estos permisos permiten que el malware<\/em>\u00a0no solo esp\u00ede al usuario, sino que tambi\u00e9n controle hasta cierto punto su dispositivo, lo que le concede al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial. Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.<\/p>\n

Las soluciones de Kaspersky detectan este malware<\/em>\u00a0con el veredicto Trojan-Banker.AndroidOS.Fakecalls y protegen el dispositivo.<\/p>\n

C\u00f3mo mantenerse protegido<\/h1>\n

Para evitar que tanto tus datos personales como tu dinero caigan en manos de los ciberdelincuentes, sigue estos simples consejos:<\/p>\n