Gran parte de la nueva ofuscación es el resultado de código malicioso escondido en un archivo .dex descifrado y cargado dinámicamente desde las aplicaciones. Como resultado, Zimperium inicialmente creyó que las aplicaciones maliciosas que estaban analizando eran parte de una familia de malware previamente desconocida. A continuación, los investigadores descargaron el archivo .dex de la memoria de un dispositivo infectado y realizaron un análisis estático del mismo.

“A medida que profundizamos, surgió un patrón”, escribió Ortega. «Los servicios, receptores y actividades se parecían mucho a los de una variante de malware más antigua con el nombre de paquete com.secure.assistant». Este paquete permitió a los investigadores vincularlo al troyano FakeCall.

Muchas de las nuevas funciones no parecen estar completamente implementadas todavía. Además de la ofuscación, otras características nuevas incluyen:

Receptor Bluetooth

Este receptor funciona principalmente como oyente, monitoreando el estado y los cambios de Bluetooth. En particular, no hay evidencia inmediata de comportamiento malicioso en el código fuente, lo que genera dudas sobre si sirve como marcador de posición para funciones futuras.

receptor de pantalla

Al igual que el receptor Bluetooth, este componente solo monitorea el estado de la pantalla (encendido/apagado) sin revelar ninguna actividad maliciosa en el código fuente.

Servicio de accesibilidad

El malware incorpora un nuevo servicio heredado del Servicio de Accesibilidad de Android, que le otorga un control significativo sobre la interfaz de usuario y la capacidad de capturar la información que se muestra en la pantalla. El código descompilado muestra métodos como onAccessibilityEvent() y onCreate() implementado en código nativo, ocultando su intención maliciosa específica.

Si bien el fragmento de código proporcionado se centra en los métodos del ciclo de vida del servicio implementados en código nativo, las versiones anteriores del malware nos dan pistas sobre su posible funcionalidad:

• Monitoreo de la actividad del marcador: El servicio parece monitorear eventos desde el com.skt.prod.dialer paquete (la aplicación de marcador estándar), lo que potencialmente le permite detectar cuando el usuario intenta hacer llamadas usando aplicaciones distintas al malware en sí.
• Concesión automática de permisos: El servicio parece ser capaz de detectar solicitudes de permiso del com.google.android.permissioncontroller (administrador de permisos del sistema) y com.android.systemui (IU del sistema). Al detectar eventos específicos (p. ej. TYPE_WINDOW_STATE_CHANGED), puede otorgar permisos automáticamente al malware, sin pasar por el consentimiento del usuario.
• Mando a distancia: El malware permite a atacantes remotos tomar control total de la interfaz de usuario del dispositivo víctima, permitiéndoles simular interacciones del usuario como clics, gestos y navegación entre aplicaciones. Esta característica permite al atacante manipular el dispositivo con precisión.

Servicio de escucha telefónica

Este servicio actúa como un conducto entre el malware y su Servidor de comando y control (C2)permitiendo al atacante emitir comandos y realizar acciones en el dispositivo infectado. Al igual que su predecesora, la nueva variante proporciona a los atacantes un conjunto completo de capacidades (consulte la tabla a continuación). Algunas funciones se han migrado al código nativo, mientras que otras son nuevas incorporaciones, lo que aumenta aún más la capacidad del malware para comprometer dispositivos.

La publicación de Kaspersky de 2022 decía que el único idioma admitido por FakeCall era el coreano y que el troyano parecía apuntar a varios bancos específicos en Corea del Sur el año pasado, investigadores de la firma de seguridad ThreatFabric. el dijo El troyano comenzó a admitir inglés, japonés y chino, aunque no había indicios de que las personas que hablaban estos idiomas fueran realmente el objetivo.