La eficiencia de la Industria del Ciberdelito se ha duplicado en cuanto a los resultados obtenidos, consumiendo la mitad del tiempo promedio de ejecución. Una nueva generación de troyanos que se hace pasar por una aplicación bancaria que simula conversaciones telefónicas con los empleados del banco. Los ciberdelincuentes evolucionan en la producción de malware cada vez más sofisticado.

En 2021 IcedID, fue considerado el más peligroso de ARG. Joker, estuvo oculto en apps descargadas de la tienda de Google infectando dispositivos Android. El troyano bancario Emotet fue identificado por primera vez en 2014, fue diseñado originalmente como un malware bancario que intentaba meterse en tu dispositivo y robar información confidencial y privada.

En versiones posteriores del software se añadieron los servicios de envío de spam y malware, incluidos otros troyanos bancarios. Emotet utiliza funciones que ayudan al software a eludir la detección por parte de algunos productos anti-malware. Últimamente un troyano bancario llamado Fakecalls, incorporó además de las funciones habituales de espionaje, una interesante capacidad para “hablar” con la víctima bajo la apariencia de un empleado del banco.

Fakecalls imita las aplicaciones móviles de los bancos coreanos más populares, entre ellos KB (Kookmin Bank) y KakaoBank. Además de los logos habituales, los creadores del troyano muestran en pantalla los números de teléfono de los respectivos bancos. Cuando se instala, el troyano solicita inmediatamente una gran cantidad de permisos sobre el dispositivo en el que se está instalando, incluido el acceso a contactos, micrófono y cámara, geolocalización, manejo de llamadas, etc.

A diferencia de otros troyanos bancarios, Fakecalls puede imitar conversaciones telefónicas con atención al cliente. Si la víctima llama a la línea directa del banco, el troyano interrumpe discretamente la conexión y abre su propia pantalla de llamadas falsas en lugar de la aplicación de llamadas normal. La llamada parece ser normal, pero de hecho los atacantes ahora tienen el control.

Después de que se intercepta la llamada, hay dos escenarios posibles. En la primera, Fakecalls conecta directamente a la víctima con los ciberdelincuentes, ya que la app tiene permiso para realizar llamadas salientes. En el segundo, el troyano reproduce un audio pregrabado imitando el saludo estándar del banco.

Para que el troyano mantenga un diálogo realista con la víctima, los ciberdelincuentes han grabado varias frases que suelen pronunciar los empleados del buzón de voz o del centro de llamadas. Por ejemplo, la víctima podría escuchar algo como esto: “Hola. Gracias por llamar a XXXXBank. Nuestro centro de llamadas está recibiendo actualmente un volumen inusualmente grande de llamadas. Un asesor hablará contigo lo antes posible. <…> Para mejorar la calidad del servicio, su conversación será grabada.” O: “Bienvenido a XXXXBank. Su conversación será grabada. Ahora lo conectaremos con un operador”.

Después de eso, los atacantes, bajo la apariencia de un empleado del banco, pueden intentar obtener datos de pago u otra información confidencial de la víctima.

Además de las llamadas salientes, Fakecalls también puede falsificar llamadas entrantes. Cuando los ciberdelincuentes quieren contactar con la víctima, el troyano muestra su propia pantalla sobre la del sistema. Como resultado, el usuario no ve el número real utilizado por los ciberdelincuentes, sino el que muestra el troyano, como el número de teléfono del servicio de soporte del banco.

Además de imitar la atención telefónica al cliente, Fakecalls tiene características más típicas de los troyanos bancarios. Por ejemplo, a las órdenes de los atacantes, el malware puede encender el micrófono del teléfono de la víctima y enviar grabaciones desde él a su servidor, así como transmitir audio y video en secreto desde el teléfono en tiempo real.

Además, los ciberdelincuentes pueden usar los permisos que le otorgaste para determinar la ubicación del dispositivo, copiar la lista de contactos o archivos (incluidas fotos y videos) del teléfono a su servidor y acceder al historial de llamadas y mensajes de texto.

Estos permisos permiten que el malware no solo espíe al usuario, sino que también controle su dispositivo hasta cierto punto, lo que le da al troyano la capacidad de desconectar las llamadas entrantes y eliminarlas del historial. Esto permite a los estafadores, entre otras cosas, bloquear y ocultar llamadas reales de los bancos.

Recomendaciones:

Descarga aplicaciones solo de tiendas oficiales y no hagas instalaciones de fuentes desconocidas.

• Las tiendas oficiales verifican todos los programas, e incluso si el malware aún se cuela, generalmente se elimina de inmediato.
• Presta atención a los permisos que solicitan las aplicaciones y si realmente los necesitan. No tenga miedo de denegar permisos, especialmente los potencialmente peligrosos como el acceso a llamadas, mensajes de texto, accesibilidad, etc.
• Nunca entregues información confidencial por teléfono. Los empleados bancarios reales nunca te pedirán sus credenciales de inicio de sesión de banca en línea, PIN, código de seguridad de la tarjeta o códigos de confirmación de mensajes de texto. En caso de duda, vaya al sitio web oficial del banco y averigüe qué pueden y no pueden preguntar los empleados.