Quella di oggi, 17 marzo 2023, è una giornata senza pace per gli utenti Android: dopo l’allarme per il malware Hook, diffuso su Play Store tramite una lunga serie di applicazioni, a suonare è la sirena di Check Point Research in seguito all’identificazione di una nuova offensiva del malware FakeCalls. Anche in questo caso i bersagli sono i dispositivi mobili con il sistema operativo di casa Google, in un ritorno del virus dopo circa un anno di assenza dai radar degli esperti.
Il ritorno di FakeCalls su Android
Il malware in questione torna in circolazione con versioni aggiornate per evitare gli antivirus di ultima generazione e i sistemi di protezione di Google. Nel report di Check Point è inclusa l’analisi di oltre 2.500 esemplari di applicazioni e servizi infetti da FakeCalls, specialmente app correlate a istituti bancari e organizzazioni finanziarie, e tutte dispongono di soluzioni mai viste prima per evadere i controlli da parte degli anti-malware.
Come avviene l’infezione? Il primo passo dell’attacco è l’installazione di malware sul dispositivo della vittima, che potrebbe avvenire tramite phishing, black SEO o pubblicità per siti Web infetti. Nella maggior parte dei casi si tratta di applicazioni apparentemente legittime provenienti da fornitori presumibilmente affidabili; in realtà, si tratta di copie infette proposte tramite cloni di siti Web ufficiali.
A rendere il tutto più complesso da identificare sono gli step successivi: l’app tende a proporre al bersaglio un prestito a basso tasso di interesse per conto dell’istituto bancario, proponendo la sua approvazione tramite una registrazione vocale dell’assistenza clienti reale, condivisa mediante una telefonata al numero della banca stessa. Tuttavia, in realtà il malware maschera il contatto chiamato (un telefono appartenente agli aggressori) con le cifre autentiche della banca impersonata.
L’obiettivo? Indurre la vittima a confermare i dati della propria carta di credito cosicché i malintenzionati possano rubare il denaro dal conto.
La diffusione del malware
Questo virus specifico per ora è attivo esclusivamente in Corea del Sud; ciononostante, gli esperti di Check Point avvertono che le operazioni potrebbero espandersi a breve in altre parti del mondo. Osservando i Paesi bersaglio di altri malware bancari, Spagna e Italia potrebbero essere i prossimi bersagli più probabili.