Check Point Research a récemment découvert un cheval de Troie Android baptisé FakeCalls, un malware capable de se faire passer pour plus de 20 applications financières et d’imiter des conversations téléphoniques avec des employés de banque. Ce type d’attaque est appelé phishing vocal (ou Vishing).

Les attaques de type « vishing », un mot-valise de « voice » (voix) et « phishing » (hameçonnage), ont lieu par téléphone et sont considérées comme un type d’attaque d’ingénierie sociale, car elles jouent sur la psychologie pour amener les victimes à fournir des informations sensibles ou à effectuer une action pour le compte de l’attaquant.
« FakeCalls » cible le marché sud-coréen et possède la fonctionnalité d’un couteau suisse, capable non seulement de mener à bien son objectif principal, mais d’extraire des données privées de la victime, ce qu’il fait très bien.
Les attaques par vishing existent depuis longtemps sur le marché sud-coréen. Selon un rapport publié sur le site du gouvernement sud-coréen, les pertes financières dues au phishing vocal constituaient environ 600 millions de dollars en 2020, le nombre de victimes atteignant 170 000 sur la période de 2016 à 2020. En Corée du Sud, les scams par phishing ont causé plus de 1,24 milliard de dollars de dommages au cours des cinq dernières années Moins de 30 % de l’argent volé a été récupéré.

Phishing vocal (ou Vishing)

Le principe du phishing vocal est de faire croire à la victime qu’un véritable employé de banque se trouve de l’autre côté du fil. Comme la victime pense que l’application utilisée est une application de banque en ligne (ou de système de paiement) d’une véritable institution financière, elle n’a aucune raison de se méfier si on lui propose une offre de prêt à un taux d’intérêt plus bas, qui est fausse, bien évidemment. À ce stade, les acteurs du malware peuvent poser les bases nécessaires pour comprendre comment approcher la victime de la meilleure façon possible.
Lors de la conversation, le numéro de téléphone des opérateurs du malware, inconnu de la victime, est remplacé par un véritable numéro de banque. Ainsi, la victime a l’impression que la conversation a lieu avec une vraie banque et un vrai employé. Une fois la confiance établie, la victime est incitée à « confirmer » les détails de sa carte bancaire dans l’espoir de bénéficier d’un (faux) prêt.
La liste des entreprises qui ont été imitées comprend des banques, des compagnies d’assurance et des services d’achat en ligne.
Il s’agit là du principal schéma de l’attaque :

Lorsque les victimes installent le malware FakeCalls, elles n’ont aucune raison de soupçonner que certaines « fonctionnalités » cachées sont incluses dans l’application de banque en ligne « digne de confiance » de cette solide entreprise.
Découverte de techniques d’évasion jusqu’alors inconnues
Nous avons découvert plus de 2500 échantillons différents du malware FakeCalls dans une combinaison d’imitation d’entreprises financières et de techniques d’évasion mises en œuvre. Les développeurs de malwares ont accordé une attention particulière à la protection de leurs logiciels malveillants, en mettant en œuvre plusieurs techniques d’évasion uniques que nous n’avions jamais encore vues.
Dans cette étude complète, nous décrivons toutes les techniques rencontrées, comment les atténuer, nous plongeons dans les détails des fonctionnalités du malware et nous expliquons comment rester protégé contre cette menace et d’autres menaces similaires.

Comment contrer les attaques par vishing

À l’instar d’autres attaques d’ingénierie sociale, il est essentiel que les utilisateurs soient conscients des risques pour pouvoir les détecter et s’en prémunir. Voici quelques points importants à inclure au programme de sensibilisation à la cybersécurité :
• Ne communiquez jamais de données personnelles : Les attaques par vishing sont généralement conçues pour inciter la cible à fournir des informations personnelles qui peuvent être utilisées à des fins frauduleuses ou pour d’autres attaques. Ne communiquez jamais de mot de passe, de numéro d’authentification multi-facteurs (MFA), des données financières ou d’autres informations similaires par téléphone.
• Vérifiez toujours les numéros de téléphone : Les vishers appellent en se faisant passer pour une entreprise légitime. Avant de donner des informations personnelles ou de faire ce que l’attaquant vous demande, demandez le nom de votre interlocuteur et rappelez-le en utilisant le numéro officiel qui figure sur le site web de l’entreprise. Si votre interlocuteur tente de vous en dissuader, il s’agit probablement d’un scam.
• Personne ne veut de cartes-cadeaux : Les vishers demandent souvent le paiement des montants impayés d’impôts ou autres frais sous forme de cartes-cadeaux ou de cartes Visa prépayées. Aucune entreprise légitime ne demandera une carte-cadeau ou un crédit prépayé en guise de paiement.
• Ne permettez jamais l’accès à un ordinateur à distance : Il peut arriver que des vishers cherchent à accéder à distance à votre ordinateur pour « supprimer un malware » ou résoudre un autre problème. Ne donnez jamais accès à votre ordinateur à des personnes autres que les membres vérifiés du service informatique.
• Signalez les incidents suspects : Les vishers tentent généralement d’utiliser le même scam sur plusieurs cibles différentes. Signalez tout soupçon d’attaque par vishing au service informatique ou aux autorités afin qu’ils puissent prendre des mesures pour protéger les autres contre ce type d’attaque.