Le malware Android « FakeCalls » circule à nouveau en Corée du Sud, imitant les appels téléphoniques de plus de 20 organisations financières et tentant de tromper les banquiers pour qu’ils divulguent les détails de leur carte de crédit.
Le malware particulier n’est pas nouveau, car Kaspersky a publié un rapport à ce sujet il y a un an. Cependant, les chercheurs de Check Point rapportent maintenant que des versions plus récentes ont mis en œuvre plusieurs mécanismes d’évasion non vus dans les échantillons précédents.
« Nous avons découvert plus de 2500 échantillons du logiciel malveillant FakeCalls qui utilisaient une variété de combinaisons d’organisations financières imitées et mettaient en œuvre des techniques anti-analyse », lit-on dans le rapport de CheckPoint.
« Les développeurs de logiciels malveillants ont accordé une attention particulière à la protection de leurs logiciels malveillants, en utilisant plusieurs évasions uniques que nous n’avions pas encore vues dans la nature. »
Hameçonnage vocal
La première étape de l’attaque consiste à installer des logiciels malveillants sur l’appareil de la victime, ce qui peut se produire via le phishing, le référencement noir ou la publicité malveillante.
Le malware FakeCalls est distribué sur de fausses applications bancaires qui se font passer pour de grandes institutions financières en Corée, de sorte que les victimes pensent qu’elles utilisent une application légitime d’un fournisseur digne de confiance.
L’attaque commence par l’application proposant à la cible un prêt à faible taux d’intérêt. Une fois que la victime est intéressée, le logiciel malveillant lance un appel téléphonique qui lit un enregistrement du véritable support client de la banque avec des instructions pour faire approuver la demande de prêt.
Cependant, le logiciel malveillant peut masquer le numéro appelé, qui appartient aux attaquants, et afficher à la place le vrai numéro de la banque usurpée, ce qui rend la conversation réaliste.
À un moment donné, la victime est amenée à confirmer les détails de sa carte de crédit, soi-disant nécessaires pour recevoir le prêt, qui sont ensuite volés par les attaquants.
En plus du processus de vishing, FakeCalls peut capturer des flux audio et vidéo en direct à partir de l’appareil compromis, ce qui pourrait aider les attaquants à collecter des informations supplémentaires.
Éviter la détection
Dans les derniers échantillons capturés et analysés par les chercheurs de CheckPoint, FakeCalls intègre trois nouvelles techniques qui l’aident à échapper à la détection.
Le premier mécanisme est appelé « multi-disque », qui consiste à manipuler les données d’en-tête ZIP du fichier APK (package Android), en définissant des valeurs anormalement élevées pour l’enregistrement EOCD afin de confondre les outils d’analyse automatisés.
La deuxième technique d’évasion implique la manipulation du fichier AndroidManifest.xml pour rendre son marqueur de départ impossible à distinguer, modifier la structure des chaînes et des styles et altérer le décalage de la dernière chaîne pour provoquer une interprétation incorrecte.
Enfin, la troisième méthode d’évasion consiste à ajouter de nombreux fichiers dans des répertoires imbriqués dans le dossier d’actifs de l’APK, ce qui entraîne des noms de fichiers et des chemins dépassant 300 caractères. Check Point indique que cela peut causer des problèmes à certains outils de sécurité, les empêchant de détecter le logiciel malveillant.
Un problème coûteux
Selon les statistiques du gouvernement sud-coréen, le vishing (hameçonnage vocal) est un problème qui a coûté aux victimes dans le pays 600 millions de dollars rien qu’en 2020, alors qu’il y a eu 170 000 victimes signalées entre 2016 et 2020.
Alors que FakeCalls est resté en Corée du Sud, le malware pourrait facilement étendre ses opérations à d’autres régions si ses développeurs ou affiliés développent un nouveau kit linguistique et une superposition d’applications pour cibler les banques dans différents pays.
Le vishing a toujours été un problème grave, mais la montée en puissance des modèles vocaux d’apprentissage automatique capables de générer un discours naturel et d’imiter la voix de personnes réelles avec un minimum de données d’entraînement est sur le point d’amplifier la menace sous peu.