Conto svuotato con una telefonata: che sta succedendo

Nell’infinita lotta tra guardie e ladri del web, l’ultimo allarme è stato diramato dalla società di cybersicurezza Zimperium e riguarda il trojan bancario FakeCall: questo virus per smartphone Android, già noto dal 2022, è stato ulteriormente sviluppato e la sua ultima versione è ancora più sofisticata e, quindi, pericolosa.

L’obiettivo è sempre lo stesso: attaccare i conti correnti delle vittime per svuotarli effettuando bonifici verso conti esteri. Il funzionamento di questo malware, però, è diverso da quello di altri e, per questo, molto più efficace. Il furto di denaro, infatti, avviene al termine di una telefonata.

Come funziona FakeCall

Per molti aspetti FakeCall è un trojan bancario di ultima generazione come tanti altri ed è dotato delle funzioni ormai ben note: tramite una serie di autorizzazioni che riesce ad ottenere, in primis quella per i servizi di accessibilità, FakeCall è in grado di prendere possesso del telefono e di leggere tutti i dati in esso contenuto.

Può leggere e inviare SMS e messaggi, cancellare eventuali app antivirus, registrare lo schermo, fare telefonate e video senza che l’utente si accorga di nulla.

Ma, soprattutto, può sostituire l’app che fa e riceve le chiamate telefoniche tradizionali. Ed è proprio questa l’arma principale di FakeCall, dalla sua prima versione del 2022 a questa scoperta nel 2024 da Zimperium.

Nei precedenti schemi di attacco gli hacker che controllano da remoto FakeCall usavano le sue potenzialità per inviare SMS di phishing alle vittime e convincerli a contattare un numero di telefono da loro controllato, spacciandosi per la banca dell’utente.

Nella nuova versione del virus, invece, è stato individuato uno schema operativo diverso e più subdolo: il virus prende possesso del cosiddetto “dialer” del telefono, cioè l’app che serve a gestire le chiamate telefoniche, e lo sostituisce con uno contraffatto. In questo modo, quando la vittima chiama in autonomia il suo istituto bancario, il malware devia la chiamata ma mostra a schermo il numero reale della banca.

In questo modo la vittima è convinta di parlare con la sua banca (d’altronde non ha risposto ad un SMS o un messaggio, ma ha chiamato di sua spontanea volontà) e si fida delle indicazioni che riceve. Dall’altra parte del telefono, però, ci sono i truffatori.

Truffatori che, come al solito, chiedono alla vittima i dati di accesso al conto corrente e li usano poco dopo per trasferire tutti i soldi su un altro conto.

Come difendersi da FakeCall

Se il meccanismo della truffa è cambiato negli ultimi anni, non è invece cambiato il modo in cui FakeCall infetta i telefoni. Tutto parte da un file APK, cioè da un pacchetto d’istallazione di un’app per telefoni Android.

FakeCall, infatti, non riesce a passare i controlli di sicurezza del Play Store di Google e, per questo, viene fatto scaricare tramite app che circolano su altri circuiti: dagli store alternativi ai link diretti inseriti in messaggi ed email. Per difendersi da FakeCall, quindi, la prima regola è quella di non scaricare mai app da store poco affidabili.

Un tempo, per essere sicuri, bastava non scaricare nulla se non dal Play Store ma adesso, grazie ai nuovi regolamenti europei DSA e DMA, gli app store alternativi cresceranno di numero e di traffico e diventerà sempre più normale cercare un’app fuori dallo store di Google.

Per questo bisogna stare sempre più attenti e guardare soprattutto ad un enorme campanello d’allarme: se l’app chiede l’accesso ai servizi di accessibilità, ma non è un’app per disabili, c’è qualcosa che non va.

I servizi di accessibilità sono una componente di Android che permette alle app autorizzate di leggere tutto ciò che si vede sullo schermo e anche di modificarlo senza l’intervento dell’utente.

Solitamente queste funzioni vengono usate dalle app per ipovedenti, ad esempio per ingrandire i caratteri o aumentare il contrasto delle immagini, o dagli ipoudenti, per leggere al disabile ciò che c’è scritto sullo schermo.

Se, invece, l’app che chiede l’accesso ai servizi di accessibilità non serve a fare qualcosa del genere, allora è praticamente certo che userà questi “super poteri” di Android per spiare l’utente.

Un ulteriore suggerimento, che va sempre tenuto a mente quando si parla al telefono con un presunto dipendente di una banca, è quello di non comunicargli mai i dati di accesso al proprio conto: se è la nostra banca, allora sa già quali sono questi dati e non c’è motivo di chiederli al cliente.

Infine, negli ultimi mesi molti istituti di credito stanno iniziando a implementare delle ulteriori misure di sicurezza contro truffe di questo tipo. Misure come il “bollino” che compare nell’app della banca quando uno dei loro dipendenti è al telefono con il cliente. Un bollino del genere, nel caso della chiamata agli hacker di FakeCall, non comparirebbe mai.