Investigadores de
seguridad de Kaspersky han descubierto una nueva variante del troyano Faketoken
llamado Faketoken.q el cuál es capaz de detectar y grabar todas las llamadas
telefónicas que se realizan con el dispositivo infectado. Además ataca a aplicaciones
móviles que hagan uso de pagos con tarjeta.
El vector de ataque
usado son los SMS. En ellos solicitan a los usuarios móviles descargar una
imagen, que acaba siendo el punto de entrada del malware en el dispositivo.
Los investigadores
aseguran que ha sido diseñado para usuarios rusos por lo que utiliza tal idioma
como lenguaje principal en su interfaz.
Como graba las
conversaciones telefónicas
Una vez descargado, el
malware instala los módulos necesarios y el payload principal en el smartphone.
Cuando una llamada
comienza en el dispositivo infectado, el malware comienza a grabarla y la envía
simultáneamente al servidor principal del atacante.
Superposición de
aplicación para robar credenciales de tarjetas de crédito
Además de la
característica anteriormente mencionada, Faketoken.q comprueba que aplicaciones
se están usando en el smartphone. En caso de que alguna aplicación tenga una
interfaz simulable por el troyano, este superpone una falsa interfaz para el
robo de información.
Para conseguir esto, el
troyano usa una opción de Android - que usan otras muchas aplicaciones y
malware - para colocar la ventana por delante de las demás.
La falsa interfaz
aparece para que la víctima introduzca sus datos bancarios y estos puedan
llegar a usarse más adelante para realizar transacciones fraudulentas.
La muestra analizada por Kaspersky puede
encontrarse en Koodous: https://koodous.com/apks/8508e1db6ca569937f9bda2a5e696c06b5bb1b6277af3da2dbcc67d27adbb67a
Más información:
Booking a Taxi for
Faketoken https://securelist.com/booking-a-taxi-for-faketoken/81457/
Fuente: Hispasec.com