Эксперты «Лаборатории Касперского» рассказали об обнаруженном банковском трояне, получившем название Fakecalls. Он может перехватывать звонки пользователей в финансовые организации, например, в банковскую службу поддержки.

Как отмечают эксперты, зловред маскируется под банковские приложения известных южнокорейских банков. Под видом сотрудников финансовой организации злоумышленники могут пытаться выведать у жертв платёжные данные или другую конфиденциальную информацию.

Когда человек звонит на горячую линию банка, троян открывает поддельный экран звонка, а далее события развиваются по одному из двух вариантов. Первый: Fakecalls соединяет жертву напрямую со злоумышленником, который представляется сотрудником поддержки. Второй: пока идёт соединение, троянец включает короткие аудиозаписи на корейском языке. Запись может быть, например, такой: «Здравствуйте, спасибо, что позвонили в наш банк. Наш колл-центр сейчас обрабатывает большой объём звонков. Консультант свяжется с вами при первой возможности». Это позволяет злоумышленникам входить в доверие к жертвам и получать от них в ходе дальнейшего разговора ценную информацию, включая детали банковского счёта.

После установки приложение Fakecalls запрашивает множество разрешений, таких как доступ к контактам, микрофону, камере, геолокации и управлению вызовами. С их помощью зловред может сбрасывать входящие звонки и удалять их из истории на устройстве, например, если до клиента пытается дозвониться реальный представитель банка.

Злоумышленники используют логотипы настоящих банков и показывают реальные номера поддержки, совпадающие с теми, которые можно найти на официальных сайтах банков. Однако авторы Fakecalls не учли, что разные клиенты банка могут использовать разные языки интерфейса, например английский вместо корейского. Экран троянца показывает только корейскую версию, и, соответственно, некоторые пользователи могут распознать ловушку.