Letscall Mobile Malware
Предупреждение относно възхода на сложна форма на гласов фишинг (вишинг), наречена „Letscall“, беше издадено от изследователи по киберсигурност. Тази конкретна техника в момента се използва за насочване към лица, пребиваващи в Южна Корея.
Извършителите зад схемата Letscall използват серия от сложни стъпки, за да подмамят жертвите си да изтеглят злонамерени приложения от измамен уебсайт, който имитира Google Play Store.
След като заплашителният софтуер успешно проникне в устройството на жертвата, той пренасочва входящите повиквания към кол център под пълния контрол на престъпниците. За да заблудят още повече жертвите, обучени оператори в колцентъра се представят за банкови служители, като по този начин печелят доверието им. Чрез тези измамни взаимодействия нищо неподозиращи лица разкриват несъзнателно чувствителна и поверителна информация на киберпрестъпниците.
Съдържание
Зловредният софтуер Letscall използва множество технологии за пренасочване на гласовия трафик
За да рационализира предаването на гласов трафик, Letscall включва модерни технологии като глас през IP (VoIP) и WebRTC. В допълнение, той използва помощните програми за преминаване на сесии за NAT (STUN) и преминаване с използване на релеи около NAT (TURN) протоколи, които включват използването на Google STUN сървъри. Тези технологии позволяват на заплахата да улеснява висококачествени телефонни и видео разговори, като същевременно заобикаля всички ограничения, наложени от преобразуването на мрежови адреси (NAT) и защитните стени.
Предполага се, че групата Letscall се състои от екип от квалифицирани професионалисти с опит в различни области. Това включва Android разработчици, дизайнери, фронтенд и бекенд разработчици, както и телефонни оператори, които са специализирани в атаки чрез гласово социално инженерство. Техните комбинирани умения и знания им позволяват да създават, управляват и изпълняват сложните операции, включени в кампанията Letscall.
Сложна операционна верига и значителни възможности за укриване, наблюдавани в зловредния софтуер Letscall
Зловреден софтуер Letscall работи чрез добре дефиниран триетапен процес. Първо, на устройството на жертвата се разполага приложение за изтегляне, което служи като подготвителна стъпка за инсталирането на мощен шпионски софтуер. След това шпионският софтуер инициира последния етап, позволявайки пренасочване на входящите повиквания към кол центъра, контролиран от нападателите.
В третия етап зловредният софтуер изпълнява различен набор от команди, включително тези, изпълнявани чрез команди на уеб сокет. Някои от тези команди се въртят около манипулирането на адресната книга на устройството, като например създаване и изтриване на контакти. Други включват създаване, модифициране и премахване на филтри, които определят кои повиквания трябва да бъдат прихванати и кои да бъдат пренебрегнати.
Това, което отличава Letscall от други подобни злонамерени заплахи, е използването на усъвършенствани техники за избягване. Злонамереният софтуер включва методи за обфускация Tencent Legu и Bangcle (SecShell) по време на първоначалната фаза на изтегляне. В следващите етапи той използва сложни структури за именуване в директориите на ZIP файлове и умишлено поврежда манифестния файл, за да замъгли намеренията си и да обърка системите за сигурност, като по този начин избягва откриването.
Престъпниците зад Letscall също са разработили автоматизирани системи, които инициират обаждания до своите жертви, възпроизвеждайки предварително записани съобщения, за да ги измамят допълнително. Чрез комбиниране на заразяването на мобилни телефони с техники за вишинг тези измамници могат да поискат микрозаеми на имената на жертвите, като същевременно ги алармират за предполагаеми подозрителни дейности. Освен това те пренасочват обажданията към своите центрове за обаждания, като добавят към илюзията за легитимност и увеличават степента на успех на техните измамни дейности.
Жертвите на зловреден софтуер Letscall могат да претърпят сериозни финансови загуби
Последиците от такива атаки могат да бъдат силно въздействащи, поставяйки жертвите под тежестта на значителни заеми, които трябва да изплатят. За съжаление, финансовите институции често подценяват сериозността на тези инвазии и пренебрегват задълбочено разследване на потенциални случаи на измами.
Докато тази конкретна заплаха в момента е ограничена до Южна Корея, изследователите предупреждават, че няма технически бариери, които да пречат на тези нападатели да разширят обхвата си до други региони, включително Европейския съюз. Този потенциал за разширяване подчертава адаптивността и гъвкавостта на киберпрестъпниците при използване на технологията за злонамерени цели.
Този нововъзникващ вариант на vishing атаки служи като рязко напомняне за непрекъснато развиващата се природа на престъпните тактики и тяхната умелост в използването на технологии за престъпни цели. Групата, отговорна за разработването на зловреден софтуер Letscall, демонстрира дълбоко разбиране на технологиите за сигурност на Android и гласово маршрутизиране, демонстрирайки своите сложни познания в тези области.
