Una variante del malware FakeCall ha ampliado sus capacidades para no solo engañar a la víctima con llamadas fraudulentas, sino también interceptar sus propias llamadas para redirigirla a números controlados por los cibercriminales con el fin de robar sus datos sensibles, entre esos bancarios

Los investigadores de la firma de seguridad Zimperium han advertido una variante del malware para Android conocido como FakeCall, diseñado para engañar a las víctimas mediante llamadas fraudulentas.

FakeCall es una amenaza que se distribuye principalmente mediante phishing, es decir, correos electrónicos que fingen proceder de un remitente legítimo, con los que engañan a la víctima para que descargue un archivo.

Este, una vez está en el teléfono Android, instala una carga maliciosa para conectar con un servidor de comando y control gestionado por los cibercriminales.

De esta forma, consiguen tomar el control del dispositivo, facilitando la realización de acciones en él. En el caso de la variante analizada, puede camuflar el número de una llamada fraudulenta e interceptar las llamadas que recibe o hace el usuario para redirigirlo a un número fraudulento, como informan en su blog oficial.

En ambos casos, el objetivo es engañarlo para que dé datos personas y sensibles, como el número de la tarjeta o de la cuenta bancaria o credenciales de acceso a determinados servicios digitales.

La investigación de Zimperium ha identificado 13 aplicaciones y dos archivos dex asociados con la campaña FakeCall.

Las personas deben estar alerta con sus datos personales. | Foto: Getty Images

Operación internacional contra los cibercriminales

Una operación internacional en la que ha participado la Policía Nacional de Países Bajos y otras agencias de seguridad de todo el mundo, ha desmantelado más de 1.200 servidores de los infostealers RedLine y Meta, que tenían como objetivo millones de víctimas a nivel global.

El infostealer es uno de los tipos de malware más populares y peligrosos, debido a que, una vez logra acceder y robar la información confidencial del dispositivo de la víctima, la envía a un servidor de comando y control y la ponen a la venta en la dark web.

Además, se suelen propagar a través de correos electrónicos fraudulentos (el método conocido como phishing) en ataques de ingeniería social, o bien con un troyano, un virus que se inserta en un software aparentemente legítimo.

Dos de las variantes más conocidas son RedLine —en activo desde 2020, según Specops— y Meta, que se habrían utilizado para acceder a los datos, millones de usuarios y grandes corporaciones para robar información confidencial, como contraseñas, historiales de búsqueda y el contenido de criptocarteras.

También habrían permitido a los cibercriminales eludir la autenticación multifactor (MFA, por sus siglas en inglés) mediante el robo de cookies de autenticación y otra información de los equipos y sistemas vulnerados, tal y como explica la Oficina Fiscal del Distrito Oeste de Texas (Estados Unidos).

RedLine y Meta se venden a través de un modelo descentralizado de ‘Malware-as-a-service’ (MaaS), en el que los ciberdelincuentes compran una licencia para usarlos y después desarrollan sus propias campañas, distribuidas a través de correo electrónico y descargas laterales fraudulentas de ‘software’.

Los ciberdelincuentes cada vez mejoran sus técnicas. | Foto: Guido Mieth

Este lunes, una coalición internacional, liderada por la Policía Nacional de Países Bajos, ha logrado tumbar las operaciones de ambos infostealers en el marco de la denominada Operación Magnus, ejecutada por el Grupo de Trabajo conjunto contra el Ciberdelito (JCAT) y con el apoyo de Europol.

En esta operación ha estado involucrada la Fiscalía, la Policía Nacional de Países Bajos y el equipo de Ciberdelincuencia de Limburgo (provincia neerlandesa), la Fiscalía y la Policía General belga, la Policía Judiciaria de Portugal, la Policía Federal australiana y belga; y varios organismos estadounidenses, entre ellos, el Servicio de Investigación Criminal Naval, la División de Investigación Criminal del Ejército y la Oficina Federal de Investigaciones (FBI).

Este desmantelamiento ha sido posible después de que las víctimas notificaran estos ataques y una empresa de ciberseguridad alertara de la posible existencia de servidores vinculados a RedLine y Meta situados en Países Bajos. Así, descubrieron que más de 1.200 servidores los estaban ejecutando en todo el mundo.

La Agencia de la Unión Europea para la Cooperación en Materia de Justicia Penal (EuroJust), que también ha coordinado la operación, ha servido de plataforma entre las distintas naciones participantes para intercambiar información dirigida a tumbar los sistemas de estas variantes de ‘malware’.

Este organismo ha indicado que tres de los servidores implicados en estas actividades se desmantelaron en Países Bajos, donde también se confiscaron dos dominios; mientras que las autoridades belgas desarticularon varios canales de comunicación de RedLine y Meta.

*Con información de Europa Press.