Détourner les appels bancaires et nous tromper avec une fausse interface, c'est la nouvelle cyberarnaque en circulation. Comme son nom en anglais l'indique, FakeCall (faux appel), elle donne aux hackers l'accès à nos informations confidentielles, comme nos numéros de compte.
FakeCall - comprenez : les faux appels -, porte bien son nom puisqu'il s'agit d'un malware plus rusé que ceux qui l'ont baptisé. Il manipule les utilisateurs en redirigeant leurs appels vers des numéros frauduleux et en imitant à la perfection l'interface d'appel de leur banque. Avec pour résultat, on l'aura bien compris, de vrais clients persuadés de parler avec leur conseiller bancaire, alors qu'ils discutent en réalité avec de vrais escrocs déterminés à soutirer leurs données personnelles et bancaires.
FakeCall repose sur le principe du « vishing » (phishing vocal) qui permet à des tiers malveillants de prendre le contrôle des appels sortants et entrants sur les téléphones infectés a priori après avoir téléchargé une application vérolée via un mail de phishing. Mais le maillon faible dans cette histoire, en dehors des victimes, reste les failles de nos smartphones Android.
Le malware FakeCall, un détournement d’appels téléphoniques orchestré par des cybercriminels
Une fois installé sur l'appareil, Fake Call exploite les permissions de services d'accessibilité pour devenir l'application de numérotation principale. Ce faisant, il capte tous les appels entrants et sortants, notamment ceux destinés aux institutions bancaires.
FakeCall est capable de modifier les numéros composés, remplaçant par exemple le contact de votre banque par celui d'un faux conseiller, ou d’intercepter un appel en cours pour le rediriger vers un numéro contrôlé par les attaquants. Cette première feinte est assortie d'une interface qui imite à la perfection l'écran d’appel légitime de l’appareil Android et bluffe donc l’utilisateur.
Une fois la conversation établie avec la fausse assistance bancaire, les cybercriminels peuvent alors, en toute tranquillité, inciter la victime à fournir des informations sensibles, comme son code de carte bancaire ou ses identifiants d'accès à son compte. Ni vu ni connu, on vous embrouille.
FakeCall s’immisce dans la vie privée en collectant une quantité inquiétante de données personnelles
Non content de détourner les appels, FakeCall va plus loin en accédant à des informations sensibles sur le téléphone de la victime. Ce malware collecte non seulement les messages SMS, mais aussi les contacts, les journaux d'appels, les données de localisation, et même les photos stockées dans l'appareil. Vous n'en avez pas assez ?
Il utilise la caméra et le microphone pour enregistrer des séquences vidéo ou audio sans le consentement de l’utilisateur. Le tout est transmis à un serveur de commande et de contrôle à partir duquel les informations recueillies peuvent être exploitées pour d’autres fraudes ou vendues sur le marché noir. FakeCall inclut également un système de streaming en direct qui permet aux attaquants de suivre en temps réel les actions de la victime, voire d’initier des enregistrements pour capturer des données supplémentaires. Quand on vous dit que nos téléphones nous écoutent…
S'il semble qu'on ne peut pas, pour le moment, empêcher les escrocs de perfectionner leurs arnaques, on peut, en revanche, éviter de tomber dans le piège. Déjà, en sachant détecter les mails de phishing. Soyez vigilant lorsque vous recevez un e-mail d'un inconnu. Ensuite, n'ouvrez jamais une pièce jointe si vous n'êtes pas sûr de son expéditeur. Enfin, si vous appelez votre conseiller bancaire et que celui-ci vous demande, par téléphone, de lui communiquer des informations comme vos coordonnées bancaires ou le code de votre carte de paiement, mettez un terme à cet appel. Jamais un établissement bancaire ne vous demandera ce genre d'informations.
Source : Zimperium