Una vecchia minaccia per gli utenti Android torna sotto la luce dei riflettori. Il celebre malware FakeCall, difatti, è stato aggiornato. Per chi non sapesse di cosa stiamo parlando si tratta di un malware che prende il controllo delle chiamate bancarie reindirizzandole verso dei numeri fraudolenti. Questo trojan bancario, noto per le sue tecniche di vishing (phishing vocale), si finge il supporto clienti di banche reali per ingannare le vittime e ottenere i loro dati sensibili.
Individuato inizialmente da Kaspersky (di cui potete acquistare i servizi su Amazon) nel 2022, FakeCall ha rapidamente attirato l’attenzione per la sua sofisticata struttura, utilizzando interfacce di chiamata realistiche che danno agli utenti l’impressione di parlare con la propria banca.
Nel marzo 2023, un rapporto di CheckPoint aveva rivelato che FakeCall si stava diffondendo, imitando oltre 20 istituti bancari e proponendo anche falsi prestiti a tassi agevolati per trarre in inganno le vittime. Oggi, un’analisi di Zimperium evidenzia un ulteriore pericolo: la nuova versione del malware si imposta come gestore di chiamate predefinito sul dispositivo, consentendo un controllo completo sulle chiamate in entrata e in uscita.
FakeCall convince l’utente a impostarlo come gestore principale delle chiamate durante l’installazione. In questo modo, il malware ottiene il permesso di intercettare tutte le chiamate, presentandosi come il vero dialer Android e riproducendo i contatti della banca per apparire autentico.
Quando la vittima prova a contattare il proprio istituto bancario, la chiamata viene silenziosamente reindirizzata a un numero controllato dai truffatori. La persona truffata rimane inconsapevole della deviazione poiché l’interfaccia imitata è quasi identica a quella reale.
La nuova versione di FakeCall si distingue anche per ulteriori migliorie. Oltre a una maggiore capacità di offuscare del codice per evitare il rilevamento, FakeCall utilizza ora i servizi di accessibilità di Android per controllare l’interfaccia utente, concedendosi autonomamente i permessi necessari. Il malware può ora monitorare il Bluetooth, registrare audio e video in diretta, acquisire screenshot e persino accedere alle immagini salvate nella memoria del dispositivo.
Zimperium ha pubblicato una lista di indicatori di compromissione (IoC) per aiutare gli utenti a identificare le app infette, ma avverte che queste vengono frequentemente aggiornate per sfuggire ai controlli. Gli esperti raccomandano di evitare l’installazione manuale di APK e di preferire app scaricate da Google Play, dove Google Play Protect può bloccare i malware, ove presenti, una volta identificati.