Letscall Mobile Malware
Els investigadors de ciberseguretat han emès una advertència sobre l'augment d'una forma sofisticada de pesca de veu (vishing) anomenada "Letscall". Aquesta tècnica en particular s'està explotant actualment per dirigir-se a persones que resideixen a Corea del Sud.
Els autors de l'esquema Letscall utilitzen una sèrie de passos complexos per enganyar les seves víctimes perquè baixin aplicacions malicioses d'un lloc web fraudulent que imita Google Play Store.
Una vegada que el programari amenaçador s'infiltra amb èxit al dispositiu de la víctima, desvia les trucades entrants a un centre de trucades sota el control total dels delinqüents. Per enganyar encara més les víctimes, els operadors entrenats del centre de trucades es fan passar per empleats del banc, guanyant-se així la seva confiança. A través d'aquestes interaccions fraudulentes, persones desprevenides divulguen sense saber-ho informació sensible i confidencial als ciberdelinqüents.
Taula de continguts
El programari maliciós Letscall utilitza diverses tecnologies per redirigir el trànsit de veu
Per agilitzar la transmissió del trànsit de veu, Letscall incorpora tecnologies avançades com la veu sobre IP (VoIP) i WebRTC. A més, aprofita les utilitats de recorregut de sessió per a NAT (STUN) i relés mitjançant relés de recorregut al voltant dels protocols NAT (TURN), que inclouen la utilització dels servidors STUN de Google. Aquestes tecnologies permeten que l'amenaça faciliti trucades telefòniques i de vídeo d'alta qualitat, alhora que obvien les restriccions imposades per la traducció d'adreces de xarxa (NAT) i els tallafocs.
Se sospita que el grup Letscall està format per un equip de professionals qualificats amb experiència en diverses àrees. Això inclou desenvolupadors d'Android, dissenyadors, desenvolupadors de frontend i backend, així com operadors de trucades especialitzats en atacs d'enginyeria social de veu. Les seves habilitats i coneixements combinats els permeten crear, gestionar i executar les operacions sofisticades implicades en la campanya Letscall.
Una cadena d'operacions complexa i capacitats d'evasió importants observades al programari maliciós Letscall
El programari maliciós Letscall funciona mitjançant un procés de tres etapes ben definit. En primer lloc, es desplega una aplicació de descàrrega al dispositiu de la víctima, que serveix com a pas preparatori per a la instal·lació de programari espia potent. A continuació, el programari espia inicia l'etapa final, que permet redirigir les trucades entrants al centre de trucades controlat pels atacants.
En la tercera etapa, el programari maliciós realitza un conjunt diferent d'ordres, incloses les executades mitjançant ordres de socket web. Algunes d'aquestes ordres giren al voltant de la manipulació de la llibreta d'adreces del dispositiu, com ara la creació i la supressió de contactes. Altres impliquen la creació, modificació i eliminació de filtres que determinen quines trucades s'han d'interceptar i quines s'han de ignorar.
El que distingeix Letscall d'altres amenaces de programari maliciós similars és l'ús de tècniques d'evasió avançades. El programari maliciós incorpora mètodes d'ofuscament de Tencent Legu i Bangcle (SecShell) durant la fase de descàrrega inicial. En etapes posteriors, empra estructures de noms intricades dins dels directoris de fitxers ZIP i corromp intencionadament el fitxer de manifest per ofuscar les seves intencions i confondre els sistemes de seguretat, evitant així la detecció.
Els delinqüents darrere de Letscall també han desenvolupat sistemes automatitzats que inicien trucades a les seves víctimes, reproduint missatges pregravats per enganyar-les encara més. En combinar la infecció de telèfons mòbils amb tècniques de vishing, aquests estafadors poden sol·licitar micropréstecs en nom de les víctimes alhora que les alarmen sobre presumptes activitats sospitoses. A més, redirigien les trucades als seus centres de trucades, augmentant la il·lusió de legitimitat i augmentant la taxa d'èxit de les seves activitats fraudulentes.
Les víctimes del programari maliciós Letscall podrien experimentar grans pèrdues financeres
Les repercussions d'aquests atacs poden tenir un gran impacte, situant les víctimes sota el pes d'importants préstecs que han de pagar. Malauradament, les institucions financeres sovint subestimen la gravetat d'aquestes invasions i descuiden investigar a fons els possibles casos de frau.
Tot i que aquesta amenaça particular es limita actualment a Corea del Sud, els investigadors adverteixen que no hi ha barreres tècniques que impedeixin que aquests atacants estenguin el seu abast a altres regions, inclosa la Unió Europea. Aquest potencial d'expansió posa de manifest l'adaptabilitat i l'agilitat dels ciberdelinqüents a l'hora d'explotar la tecnologia amb finalitats malicioses.
Aquesta variant emergent dels atacs de vishing serveix com a recordatori contundent de la naturalesa en constant evolució de les tàctiques criminals i la seva habilitat per aprofitar la tecnologia amb finalitats nefastes. El grup responsable de desenvolupar el programari maliciós Letscall mostra un coneixement profund de la seguretat d'Android i les tecnologies d'encaminament de veu, mostrant els seus coneixements sofisticats en aquestes àrees.
