FakeCall, un logiciel malveillant, simule habilement des appels entrants de la banque pour tromper les victimes et les inciter à divulguer leurs informations personnelles. Découvert en 2022, il a évolué avec de nouvelles capacités inquiétantes, posant un risque accru pour les utilisateurs Android au niveau mondial.
L’essentiel : L’aspect le plus alarmant de FakeCall est sa capacité à simuler des appels entrants d’employés de banque. Cette fonction est conçue pour rassurer les victimes et les tromper afin qu’elles divulguent des identifiants de compte par le biais de techniques d’ingénierie sociale.
Identifié pour la première fois en 2022, FakeCall est un logiciel malveillant développé pour détourner des comptes bancaires. Il intercepte les appels passés aux institutions financières et les redirige vers des cybercriminels qui se font passer pour des représentants de la banque afin d’extraire des informations sensibles et d’accéder de manière non autorisée aux fonds des victimes – une escroquerie connue sous le nom de phishing vocal, ou « vishing » en abrégé. Au cours des années, il a connu une évolution significative et a réapparu avec de nouvelles capacités alarmantes, représentant un danger encore plus grand pour les utilisateurs Android du monde entier.
Les chercheurs de la société de sécurité mobile Zimperium ont découvert un total de 13 nouvelles déclinaisons de FakeCall. Elles affichent un ensemble de nouvelles capacités améliorées qui témoignent d’un investissement substantiel de la part des attaquants.
L’une des avancées les plus significatives est le niveau accru d’obfuscation employé par le logiciel malveillant. Les nouvelles déclinaisons utilisent un fichier .dex déchiffré et chargé dynamiquement pour dissimuler leur code malveillant, rendant la détection et l’analyse plus difficiles.
La méthode principale d’infection de FakeCall est similaire aux versions antérieures. Le logiciel malveillant pénètre généralement dans l’appareil d’une victime par le biais d’une attaque de phishing, incitant les utilisateurs à télécharger un fichier APK agissant comme un dropper. Une fois installé, ce dropper déploie la charge utile malveillante, établissant une communication avec un serveur de Commande et Contrôle (C2).
La fonctionnalité principale du malware repose sur sa capacité à intercepter et manipuler les appels téléphoniques. Lorsqu’il est installé, FakeCall invite l’utilisateur à le définir comme le gestionnaire d’appel par défaut de l’appareil. Cette demande apparemment anodine accorde au malware un contrôle étendu sur tous les appels entrants et sortants.
Le système sophistiqué d’interception des appels de FakeCall lui permet de surveiller les appels sortants et de transmettre ces informations à son serveur C2. Lorsque la victime tente de contacter sa banque, le logiciel malveillant peut rediriger l’appel vers un numéro contrôlé par les attaquants. Pour maintenir la tromperie, FakeCall affiche une interface utilisateur frauduleuse convaincante qui imite l’interface d’appel Android légitime, complète avec le véritable numéro de téléphone de la banque.
Les dernières déclinaisons de FakeCall introduisent plusieurs nouveaux composants, dont certains semblent encore en développement. Un récepteur Bluetooth surveille l’état et les changements Bluetooth, bien que son objectif exact reste flou. De même, un récepteur d’écran surveille l’état de l’écran sans aucune activité malveillante apparente dans le code source.
Un nouveau service d’accessibilité, hérité du service d’accessibilité Android, accorde au malware un contrôle significatif sur l’interface utilisateur et la capacité de capturer des informations affichées à l’écran ; cela démontre l’augmentation de la sophistication du malware. Sur la base de l’analyse des versions antérieures, il pourrait potentiellement surveiller l’activité du composeur, accorder automatiquement des autorisations au malware, et même permettre à des attaquants à distance de prendre le contrôle total de l’interface utilisateur de la victime.
De plus, un service d’écoute téléphonique agit comme un pont entre le malware et son serveur de commande et contrôle, permettant aux attaquants de donner des ordres et d’exécuter des actions sur l’appareil infecté.