Dieser Trojaner gehört einer bislang weitgehend unbekannten Spezies an. Er besteht nämlich nicht nur aus bösartiger Software, sondern ist an eine Art Callcenter angebunden. Dort sitzen Kriminelle, die sich als Banker ausgeben und versuchen, die Finanzdaten des Anrufers zu erfragen. Aber, der Reihe nach.

Wie Kaspersky berichtet, ist schon im vergangenen Jahr ein neuer Trojaner namens Fakecalls aufgefallen, der neben den üblichen Spionagefunktionen über die interessante Fähigkeit verfügt, mit seinen Opfern unter dem Deckmantel eines Bankangestellten zu „sprechen“. Fakecalls imitiert dabei die mobilen Anwendungen bekannter koreanischer Banken, darunter die der Kookmin-Bank und die der Kakao-Bank.

Ist der Trojaner einmal installiert, fordert er sofort eine ganze Reihe von Berechtigungen an, darunter den Zugriff auf Kontakte, Mikrofon und Kamera, Geolokalisierung, Anrufbearbeitung und weitere. Das versetzt Fakecalls in die Lage, Telefongespräche zu initiieren.

Will eines seiner Opfer etwa mit dem Kundensupport seiner Bank sprechen, unterbricht der Trojaner diskret diesen Anruf und startet seinen eigenen Anrufbildschirm. Der sieht nicht ganz genauso aus wie der Anrufbildschirm des jeweiligen Systems und könnte den Trojaner relativ leicht verraten. Da die Opfer das Telefon zu diesem Zeitpunkt in der Regel aber am Ohr haben werden, scheint der Unterschied nicht leicht aufzufallen. Da die Oberflächensprache von Fakecalls stets und ausschließlich Koreanisch ist, dürften Nutzende anderer UI-Sprachen im Zweifel recht schnell erkennen, dass etwas faul ist. Sie dürften dann indes auch kaum Kunden einer der „unterstützten Banken“ sein.

Hat Fakecalls einen Anruf seines Opfers bei einer Bank einmal abgefangen, kann die App zwei Wege gehen. Im ersten Fall verbindet Fakecalls das Opfer direkt mit den Cyberkriminellen, da die App die Erlaubnis hat, ausgehende Anrufe zu tätigen. Im zweiten Fall spielt der Trojaner aufgezeichnete Tonschnipsel ab, die die Standardansagen der Bank imitieren.

Damit der Trojaner einen realistischen Dialog mit dem Opfer führen kann, haben die Cyberkriminellen der Malware mehrere Sätze auf Koreanisch mitgegeben, die typischerweise von Voicemail- oder Callcenter-Mitarbeitenden verwendet werden. Das Opfer könnte zum Beispiel hören: „Hallo. Vielen Dank für Ihren Anruf bei der Kakao Bank. In unserem Callcenter gehen derzeit ungewöhnlich viele Anrufe ein. Ein Berater wird so bald wie möglich mit Ihnen sprechen. <…> Um die Qualität des Service zu verbessern, wird Ihr Gespräch aufgezeichnet.“ Oder: „Willkommen bei der Kookmin Bank. Ihr Gespräch wird aufgezeichnet. Wir werden Sie jetzt mit einem Mitarbeiter verbinden.“ Danach versuchen die Angreifer unter dem Deckmantel eines Bankmitarbeiters, dem Opfer Zahlungsdaten oder andere vertrauliche Informationen zu entlocken.

Neben ausgehenden Anrufen kann Fakecalls ebenso eingehende Anrufe vortäuschen. Wenn die Cyberkriminellen ihr Opfer kontaktieren wollen, kann der Trojaner seinen eigenen Anrufbildschirm über dem des Systems anzeigen. So sieht das Opfer nicht die echte Nummer, die von den Cyberkriminellen verwendet wird, sondern lediglich die vom Trojaner angezeigte – in der Regel die Telefonnummer des Kundendienstes der Bank.

Neben diesen anrufbasierten Angriffsmethoden ist Fakecalls mit den üblichen Spyware-Features ausgestattet. So kann die Malware auf Befehl der Angreifenden das Mikrofon des Telefons des Opfers einschalten und Aufnahmen davon an einen Server senden sowie heimlich Audio- und Videoaufnahmen vom Telefon in Echtzeit übertragen. Ebenso können die Cyberkriminellen den Standort des Geräts ermitteln sowie die Kontaktliste und beliebige Dateien vom Telefon auf einen Server kopieren. Zudem können sie auf den Anruf- und SMS-Verlauf zugreifen.

Diese Berechtigungen erlauben der Malware eine gewisse Kontrolle über das Gerät. So kann der Trojaner etwa eingehende Anrufe ablehnen und aus dem Protokoll löschen. Damit können die Angreifenden unter anderem echte Anrufe von Banken blockieren und verbergen.

In Europa sind bislang keine Angriffe unter Verwendung des Fakecalls-Trojaners bekannt geworden. Das dürfte aber im Wesentlichen an der beschränkten Sprachkompetenz der Entwickelnden liegen. Es empfiehlt sich daher, die üblichen Maßnahmen im Umgang mit Smartphone-Apps zu beachten. Damit solltet ihr auch gegen Fakecalls hinreichend geschützt sein, wenn die Malware-Entwickelnden den Google Übersetzer entdecken.