MALWARE FAKECALLS SUPLANTA ENTIDADES FINANCIERAS DE COREA DEL SUR

16/03/2023

BOLETÍN NRO 2023-174

Recientemente se ha detectado una nueva herramienta maliciosa llamada FakeCalls para Android dirigida a usuarios de Corea del Sur, haciéndose pasar por las principales instituciones financieras de la región.

Servicios Afectados

• Sistemas operativos Android

Detalles Tecnicos

CVE: ---

Severidad:   ALTA

Amenaza: FakeCalls

Categoría: Malware

El malware FakeCalls atrae a las víctimas con falsos préstamos, pidiéndoles que confirmen sus números de tarjeta de crédito, que luego son robados. Este malware también puede de extraer datos privados del dispositivo de la víctima.

En un informe publicado, una firma de seguridad indico que habían descubierto más de 2.500 muestras del malware FakeCalls en una combinación de imitaciones de organizaciones financieras y técnicas de evasión implementadas.

Además, el equipo dijo que los desarrolladores del malware hicieron esfuerzos adicionales para proteger su malware de los programas antivirus, implementando varias técnicas de evasión únicas no observadas previamente.

Los creadores del malware prestaron especial atención a los aspectos técnicos de su creación y aplicaron varias técnicas antianálisis únicas y eficaces, Además, idearon mecanismos para la resolución encubierta de los servidores de mando y control que estaban detrás de las operaciones.

Los expertos en seguridad advirtieron de que las técnicas utilizadas por FakeCalls podrían reutilizarse en otras campañas.

Indicadores de Compromiso

IP

156[.]245[.]12[.]211

154[.]38[.]113[.]162

154[.]23[.]182[.]63

154[.]197[.]48[.]72

154[.]197[.]48[.]212

154[.]197[.]48[.]195

154[.]197[.]48[.]125

206[.]119[.]82[.]78

182[.]16[.]42[.]18

156[.]245[.]21[.]38

154[.]197[.]48[.]93

Dominio

filedata[.]do

Hash

MD5: 2e6d9ef3b122548313c0939d0e5916a4

SHA-256: f8823780d2822307e995528bd7a34a1735e66bd2fe22404e02053cb92b0a56cb

MD5: 0483b3ad2f1439d80b79aa5f9e6f4f05

SHA-256: e8396aa5cccd30478e8fd0cf959ee996b6b727531bdece1ed63482b053c24004

MD5: 35c853b6ec6da964a37354761deac711

SHA-256: de743563f41553f47bb7073ac28ed4d79e1a4031b3da732497805aa8a297943f

MD5: 77fcecdcfba8a3d034c310e568c3f1e0

SHA-256: cc4dc5afeb91ef2ad364cda511777b888a4ba9a90ae49e9181494b2ff32d50ed

MD5: 945e382507be164660ae70e16b599891

SHA-256: b7ee5e7a4b9937e5fd9eebed01eabc36b22c8c6931e63f934bbdb961346169b3

MD5: dd4dcea53cf77a997759a1d3a7838b37

SHA-256: 834e678c8bb755d6bd21a886a39fea19613fd80a3894e4d6ddff3652170a0464

MD5: 7d42167cd146bae57f20e26100a477b2

SHA-256: 76b94289ad36015d91e26ef1298fc04ca6f7ad7be1fe2d07ecf8a12be20996f3

MD5: 67ed1b79c7aaed02371f26605f71e257

SHA-256: 522b4b565f34309713497d5fa2bfb6aa403cf7547c1ba2c114fc59fa8252b472

MD5: 20dadf10360396fca3e4454b1fb7b9ce

SHA-256: 4a422047bc0a2ca692b33a80740ab64a5bbc325c348d3d4eea0f304d3c256e03

MD5: 9852fcbc441fa10daece2b7eec30d70e

SHA-256: 49c460158f23d12200488612242d2b8f50fdad38d5edb006e8c3a90b8005172c

MD5: a20dac91de8aaddc22e674700f4596f4

SHA-256: 39c7f217e55809b762b998198f6ae1e30ed87f0838f8e01e3fd838a77831bd3d

MD5: 111451fcf685a18c58043a5330966d9e

SHA-256: 2fc09a2a0426e1fca7d9675c2f1734e36b3a13c260044ee70a7893419ab1bbe2

MD5: 06a21a014f670a2f3d6dea1a12aa5b0d

SHA-256: 0e26be5dbdc3656b09cc6d7d231b2285a7e52a4dc42c63021b57ee40b9694f34

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: FakeCalls" Android Malware Targets Financial Firms in South Korea
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​