FakeCall: Cómo funciona el troyano bancario que secuestra llamadas en Android

  • FakeCall es un troyano bancario avanzado capaz de interceptar y redirigir llamadas simulando la app de tu banco.
  • Su instalación suele producirse mediante campañas de phishing que impulsan a descargar apps fuera de Google Play.
  • Las capacidades del malware incluyen transmisión en vivo, capturas de pantalla y control remoto del dispositivo.
IsaacActualizado el

6 minutos

FakeCall malware en Android

La amenaza del malware en dispositivos Android va en constante aumento y se vuelve más sofisticada, especialmente en lo que respecta a troyanos bancarios. Una de las amenazas más recientes, avanzadas y peligrosas es FakeCall, un troyano bancario especialmente diseñado para atacar a usuarios de Android con técnicas de manipulación, redirección de llamadas y obtención de datos confidenciales. En este extenso análisis, descubrirás cómo FakeCall logra engañar a las víctimas, cuáles son sus técnicas de ataque, todas sus capacidades más recientes y por qué supone un reto sin precedentes para la seguridad móvil. Además, las mejores prácticas para protegerte de este y otros malwares similares.

¿Qué es FakeCall y por qué es tan peligroso para Android?

FakeCall malware en Android: técnicas de vishing

FakeCall es un troyano bancario que emplea con maestría la técnica conocida como vishing (phishing de voz). El propósito principal de este malware es engañar a los usuarios para que crean estar hablando con representantes reales de su banco, lo que los lleva a compartir información confidencial como contraseñas o datos de sus tarjetas bancarias.

Este malware fue detectado por primera vez hace algunos años, pero continuamente evoluciona. Las variantes más recientes han incrementado su sofisticación y peligrosidad, integrando funcionalidades que le permiten interceptar e incluso redirigir llamadas telefónicas auténticas, logrando un nivel de manipulación nunca antes visto en troyanos bancarios.

El mayor peligro de FakeCall reside en su capacidad para suplantar la aplicación de llamadas del teléfono. Así, puede presentarse como la interfaz legítima del dispositivo y simular que el usuario está marcando el número real de su banco, cuando en realidad la llamada es interceptada y redirigida a los atacantes.

De acuerdo con los informes de firmas especializadas como Zimperium, Kaspersky y Check Point, FakeCall no solo engaña en el aspecto visual: utiliza permisos y APIs avanzadas para tomar el control casi total del dispositivo, accediendo a comunicaciones, registros y otros datos a demanda.

Sumado a todo lo anterior, FakeCall se propaga principalmente mediante campañas de phishing —correos o mensajes que simulan provenir de entidades oficiales— y solicita a la víctima instalar aplicaciones maliciosas bajo pretextos engañosos. Actualmente, se han detectado más de una docena de aplicaciones y ficheros asociados a campañas FakeCall, incrementando su alcance.

Funcionamiento interno de FakeCall: cómo secuestra y manipula las llamadas bancarias

Redirección de llamadas y manipulación en FakeCall

Para comprender la gravedad de esta amenaza, es clave revisar cómo FakeCall consigue acceder y manipular la función de llamadas del teléfono:

  • Solicita permisos avanzados al instalarse, como acceder a la gestión de llamadas, leer contactos y controlar la pantalla.
  • Se establece como la aplicación predeterminada para llamadas: engaña al usuario para que le otorgue este permiso, lo cual es fundamental para interceptar y redirigir llamadas sin que se note.
  • Cuando se llama a un número bancario, la aplicación interfiere e intercepta la acción. En lugar de conectar con la entidad bancaria real, la llamada es enviada a un número bajo control de los cibercriminales.
  • La pantalla mostrará la interfaz y el número legítimo del banco, generando una confianza falsa y facilitando que la víctima entregue sus datos.
  • En algunos casos, la víctima puede recibir una llamada entrante supuestamente de su banco, pero en realidad es una llamada iniciada y controlada por los delincuentes con el número falsificado.

En las versiones anteriores, FakeCall animaba a los usuarios a contactar con su banco a través de una app falsa que imitaba la oficial. Las variantes actuales aprovechan la manipulación del sistema de llamadas, logrando un engaño más sutil y peligroso.

La sofisticación de la interfaz falsa es tal que la víctima no detecta la manipulación en ningún momento, permitiendo al atacante mantener conversaciones, hacer preguntas de seguridad y solicitar códigos OTP o contraseñas de un solo uso.

Capacidades avanzadas y funcionalidades peligrosas de FakeCall

FakeCall malware: capacidades avanzadas y funcionalidades

FakeCall es mucho más que un simple ladrón de datos por voz: es una herramienta de control y espionaje integral sobre el dispositivo Android. Sus versiones más peligrosas integran un conjunto de funcionalidades nunca antes reunidas en un solo troyano bancario:

  • Transmisión en vivo de pantalla: Puede transmitir en tiempo real todo lo que sucede en la pantalla del usuario, permitiendo a los atacantes observar todas las actividades, incluidos datos sensibles y movimientos dentro de aplicaciones bancarias.
  • Captura de pantalla automática: FakeCall puede tomar capturas de pantalla en cualquier momento y enviarlas a los servidores de los atacantes para evaluar información o documentos visualizados.
  • Desbloqueo y control de la pantalla: Es capaz de desbloquear el teléfono e impedir que la pantalla se apague automáticamente, facilitando el acceso prolongado al dispositivo sin que el usuario lo note.
  • Emisión de comandos remotos: Utiliza los mismos permisos otorgados para ejecutar acciones en el dispositivo, como simular pulsaciones, manejar aplicaciones abiertas o incluso detonar la cámara para grabaciones.
  • Eliminación y filtración de archivos: Tiene capacidad de acceder a la carpeta de imágenes, comprimir y cargar fotos, eliminar archivos o manipular la información almacenada.
  • Abuso de las APIs de accesibilidad: FakeCall otorga permisos adicionales para sí mismo, saltándose restricciones de seguridad y ampliando su poder en el sistema Android.
  • Recopilación masiva de información: Es capaz de recolectar datos de contactos, SMS, ubicaciones, lista de aplicaciones instaladas, incluso grabar audio ambiente o desde la cámara del dispositivo.
  • Monitoreo de Bluetooth y pantalla: Algunas variantes pueden saber cuándo el usuario utiliza el Bluetooth o monitorizar el estado de la pantalla, ajustando su comportamiento en función de la privacidad aparente del usuario.
  • Manipulación del estado del teléfono: Puede incluso simular la pulsación del botón de inicio o manipular bloqueos automáticos, dificultando que la víctima descubra una actividad anómala mientras es víctima de una estafa.

La integración de todas estas funcionalidades convierte a FakeCall en un arma multiusos al servicio del cibercrimen, incrementando el daño potencial y dificultando la detección manual por parte del usuario.

Métodos de propagación de FakeCall y cómo proteger tu móvil

Métodos de propagación de FakeCall en Android

La principal vía de distribución de FakeCall son las campañas de phishing, es decir, mensajes o correos electrónicos que fingen ser de bancos u otras entidades legítimas y que incitan al usuario a instalar una aplicación o pulsar un enlace. Sin embargo, el malware también puede aparecer en tiendas no oficiales de aplicaciones o en páginas webs fraudulentas que simulan pertenecer a bancos o empresas reconocidas.

Cuando la víctima descarga un archivo APK malicioso, habitualmente bajo promesas de préstamos, descuentos o funcionalidades bancarias exclusivas, se inicia el proceso de infección. La instalación da pie a la petición de permisos avanzados y, en muchos casos, a conexiones con servidores externos de comando y control desde los que los atacantes dirigen la actividad maliciosa.

Actualmente, Google Play Protect ha demostrado ser una barrera eficaz para el malware conocido, y no se ha detectado FakeCall en la tienda Play Store oficial. Sin embargo, los usuarios siguen estando en riesgo al descargar aplicaciones desde fuentes no verificadas o al caer en mensajes engañosos.

Algunas variantes avanzadas del malware identificadas se agrupan bajo nombres de paquetes extraños, y pueden simular herramientas legítimas, asistentes, utilidades bancarias o servicios de ayuda.

La mejor defensa frente a FakeCall y similares consiste en mantener una actitud proactiva y desconfiada ante aplicaciones no verificadas:

  • Instala apps únicamente desde Google Play Store o de fuentes verificadas y reconocidas.
  • Evita descargar archivos APK enviados por correo o mensajes desconocidos, incluso si parecen proceder de fuentes fiables.
  • Mantén siempre activo Google Play Protect y realiza escaneos periódicos con aplicaciones de seguridad reputadas.
  • No concedas permisos excesivos a las aplicaciones, especialmente aquellos relacionados con llamadas, accesibilidad o administración del dispositivo.
  • Sospecha de cualquier app que solicite convertirse en la aplicación predeterminada de llamadas sin una razón clara.
  • Presta atención a las señales de intento de engaño, como mensajes urgentes o promesas demasiado buenas para ser reales.
  • Revisa periódicamente las aplicaciones instaladas y elimina cualquiera que no recuerdes haber descargado.

Identificación de infecciones, nombres de paquetes y alcance de las campañas de FakeCall

Detección y alcance de FakeCall en Android

Los expertos en ciberseguridad han detectado más de 13 aplicaciones y ficheros .dex relacionados con campañas FakeCall. Algunas de las variantes de malware emplean nombres de paquetes aleatorios o similares a servicios legítimos para pasar desapercibidos. Ejemplos de nombres utilizados son:

  • com.qaz123789.serviceone
  • com.sbbqcfnvd.skgkkvba
  • com.securegroup.asistente
  • com.seplatmsm.skfplzbh
  • eugmx.xjrhry.eroreqxo
  • gqcvctl.msthh.swxgkyv
  • ouyudz.wqrecg.blxal
  • plnfexcq.fehlwuggm.kyxvb
  • xkeqoi.iochvm.vmyab

El alcance de FakeCall se ha extendido a nivel internacional. En sus inicios se focalizaba principalmente en usuarios de países asiáticos, pero su táctica y código se han adaptado rápidamente para explotar debilidades en sistemas de otros lugares, aprovechando fallos humanos y huecos de seguridad en dispositivos Android.

El número de víctimas potenciales aumenta a medida que el malware evoluciona, sobre todo ante usuarios poco familiarizados con amenazas cibernéticas modernas o que descargan apps sin comprobar su autenticidad.

El impacto real: riesgos para la seguridad y privacidad de los usuarios de Android

Consecuencias y riesgos de FakeCall en usuarios Android

El impacto de FakeCall va mucho más allá de robar datos bancarios. Este malware puede significar la pérdida del control total sobre el dispositivo, la suplantación de identidad, el acceso y eliminación de archivos personales y la divulgación de información privada y financiera a redes de ciberdelincuentes.

Entre los riesgos más relevantes destacan:

  • Robo total de credenciales bancarias y códigos de un solo uso, lo que puede conllevar la vaciado de cuentas o transferencias no autorizadas.
  • Acceso y uso remoto del dispositivo, permitiendo a los atacantes operar el terminal como si fueran el verdadero propietario.
  • Recopilación masiva de información personal (SMS, imágenes, contactos, audios y más), que puede utilizarse para extorsión, phishing adicional o venta en mercados ilegales.
  • Dificultad extrema para la detección del malware, ya que FakeCall imita a la perfección los elementos visuales y la experiencia de usuario estándar de Android, sin levantar sospechas durante el fraude.
  • Alteración de la configuración del dispositivo, como bloqueo del acceso manual o cambios en privilegios, complicando la recuperación del control por parte de la víctima.

Google ha tomado medidas para prevenir la proliferación de este tipo de amenazas en Google Play y está experimentando en algunos países con iniciativas que bloquean la descarga de apps potencialmente peligrosas, especialmente aquellas que abusan de servicios de accesibilidad.

Sin embargo, la protección depende en gran medida de la atención y el comportamiento de cada usuario. El malware no se instala por sí mismo: requiere de una acción humana, normalmente motivada por la urgencia o por promesas y mensajes de phishing convincentes.

El desarrollo continuado de FakeCall evidencia que los ciberdelincuentes adaptan sus técnicas a los nuevos sistemas de defensa y a la cultura digital del usuario medio, por lo que la información y la formación siguen siendo la mejor barrera.

nuevo malware toxicpanda-0
Artículo relacionado:
ToxicPanda: el malware bancario que amenaza a usuarios Android y cómo protegerte

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.