Malware imita linha direta do serviço ao cliente dos bancos online para roubar credenciais às vítimas

O “Fakecalls” é um trojan bancário detetado pelos analistas da Kaspersky em janeiro de 2021. A sua investigação concluiu que quando a vítima faz uma chamada para a linha direta do banco, o trojan abre a sua própria ligação falsa, substituindo aquela que seria autêntica atendida pela entidade bancária.

A empresa de cibersegurança diz que depois se abrem dois cenários quando a chamada é intercetada: por um lado o “Fakecalls” liga diretamente às vítimas, fazendo-se passar pelo serviço de apoio ao cliente desse banco; por outro, o trojan também consegue reproduzir uma pré-gravação a imitar uma conversa padrão, usando um sistema de voice-mail automatizado.

Estes ataques foram descobertos na Coreia do Sul, chegando ao ponto de sofisticação de utilizar pequenos clips de áudio em coreano nas chamadas para interagir com as vítimas, procurando ganhar a sua confiança. Mensagens como “Olá, obrigado por ligar para o nosso banco. O nosso centro de chamadas está a receber um elevado volume de chamadas. Será atendido o mais rapidamente possível”, têm como objetivo obter o máximo de informação crítica das vítimas, incluindo detalhes da conta bancária.

Por outro lado, os ataques têm apenas em vista as vítimas coreanas, uma vez que está limitado a este idioma. A Kasperski mostrou imagens do ecrã atacado pelo Fakecalls, referindo que utilizadores que, por exemplo, utilizam o smartphone em inglês tenham dado conta da ameaça.

Além das chamadas, a especialista em cibersegurança diz que também há uma aplicação falsa do Fakecalls, que pede diversas permissões aos utilizadores, tais como o acesso a contactos, o uso do microfone e câmara, a geolocalização e o tratamento das chamadas. Com estas permissões, o trojan consegue descartar as chamadas recebidas e apaga-las do histórico dos equipamentos, tais como contactos reais do banco aos seus clientes.

Nesse sentido, este trojan consegue monitorizar as chamadas recebidas e falsificar chamadas efetuadas. A Kaspersky explica que quando um cibercriminoso contacta uma vítima, o trojan exibe o seu próprio ecrã de chamada no topo do sistema e desta forma o utilizador não vê o número real usado pelos hackers, mas sim o do serviço de apoio ao cliente exibido falsamente.

E o Fakecalls consegue imitar as aplicações bancárias coreanas mais conhecidas, incluindo logotipos reais dos bancos, os números dos respetivos serviços de atendimento, tal como listados nos seus websites oficiais.

Existe aqui uma espécie de inversão do perigo, ou seja, por norma, os clientes estão mais atentos a chamadas recebidas nas tentativas dos cibercriminosos se passarem pelas entidades bancárias. Mas neste caso, os utilizadores não esperam o perigo do outro lado da linha quando tentam contactar diretamente o serviço de apoio ao cliente do banco. “Geralmente confiamos nos funcionários dos bancos: pedimos-lhes ajuda e podemos, portanto, dizer-lhes, ou aos seus imitadores, qualquer informação solicitada”, refere o analista da Kaspersky, Igor Golovin.

A Kaspersky diz que os cibercriminosos criaram a Fakecalls combinando duas tecnologias “perigosas”: trojas bancários e engenharia social, alertando para o perigo das vítimas poderem perder dinheiro e o acesso aos seus dados pessoais. Nesse sentido, é preciso cuidado a instalar uma nova aplicação bancária, sobretudo as permissões que são pedidas e concedidas às mesmas.

É assim aconselhado que descarregue apenas as aplicações a partir das lojas oficiais, uma vez que estas são verificadas sem têm malware. Deve também prestar atenção às permissões que são requeridas pelas apps, sendo as mais perigosas as que pedem o acesso às chamadas, mensagens de texto e acessibilidade, por exemplo. Os utilizadores são ainda desincentivados a fornecer dados confidenciais ao telefone, uma vez que os funcionários não pedem login, PINs ou códigos de segurança dos cartões ou das mensagens de texto recebidas.