Letscall Mobile Malware
En advarsel om fremkomsten af en sofistikeret form for stemme-phishing (vishing) kaldet 'Letscall' er blevet udstedt af cybersikkerhedsforskere. Denne særlige teknik bliver i øjeblikket udnyttet til at målrette mod personer, der bor i Sydkorea.
Gerningsmændene bag Letscall-ordningen anvender en række indviklede trin for at narre deres ofre til at downloade ondsindede applikationer fra et svigagtigt websted, der efterligner Google Play Butik.
Når den truende software har infiltreret ofrets enhed, viderestiller den indgående opkald til et callcenter under fuldstændig kontrol af de kriminelle. For yderligere at bedrage ofrene udgiver trænede operatører i callcentret sig som bankansatte og vinder derved deres tillid. Gennem disse svigagtige interaktioner videregiver intetanende personer ubevidst følsomme og fortrolige oplysninger til cyberkriminelle.
Indholdsfortegnelse
Letscall-malwaren bruger flere teknologier til at omdirigere stemmetrafik
For at strømline transmissionen af taletrafik inkorporerer Letscall avancerede teknologier som Voice over IP (VoIP) og WebRTC. Derudover udnytter den Session Traversal Utilities for NAT (STUN) og Traversal Using Relays omkring NAT (TURN) protokoller, som omfatter brugen af Google STUN-servere. Disse teknologier gør det muligt for truslen at lette telefon- og videoopkald af høj kvalitet, mens de omgår eventuelle restriktioner pålagt af Network Address Translation (NAT) og firewalls.
Letscall-gruppen er mistænkt for at bestå af et team af dygtige fagfolk med ekspertise inden for forskellige områder. Dette inkluderer Android-udviklere, -designere, frontend- og backend-udviklere samt opkaldsoperatører, der specialiserer sig i stemmeangreb på socialt ingeniørarbejde. Deres kombinerede færdigheder og viden giver dem mulighed for at skabe, administrere og udføre de sofistikerede operationer, der er involveret i Letscall-kampagnen.
En kompleks operationskæde og betydelige undvigelsesevner observeret i Letscall-malwaren
Letscall-malwaren fungerer gennem en veldefineret tre-trins proces. For det første installeres en downloader-app på ofrets enhed, som fungerer som et forberedende trin til installationen af potent spyware. Dernæst starter spywaren den sidste fase, hvilket muliggør omdirigering af indgående opkald til callcenteret, der kontrolleres af angriberne.
I den tredje fase udfører malwaren et særskilt sæt kommandoer, inklusive dem, der udføres via web-socket-kommandoer. Nogle af disse kommandoer drejer sig om at manipulere enhedens adressebog, såsom oprettelse og sletning af kontakter. Andre involverer oprettelse, ændring og fjernelse af filtre, der bestemmer, hvilke opkald der skal opsnappes, og hvilke der skal ses bort fra.
Det, der adskiller Letscall fra andre lignende malware-trusler, er dets anvendelse af avancerede undvigelsesteknikker. Malwaren inkorporerer Tencent Legu og Bangcle (SecShell) sløringsmetoder under den indledende downloadfase. I de efterfølgende faser anvender den indviklede navngivningsstrukturer i ZIP-filmapper og korrumperer med vilje manifestfilen for at sløre dens hensigter og forvirre sikkerhedssystemer og dermed undgå opdagelse.
De kriminelle bag Letscall har også udviklet automatiserede systemer, der initierer opkald til deres ofre og afspiller forudindspillede beskeder for at snyde dem yderligere. Ved at kombinere infektion af mobiltelefoner med vishing-teknikker kan disse svindlere anmode om mikrolån i ofrenes navne og samtidig alarmere dem om påståede mistænkelige aktiviteter. Derudover omdirigerer de opkald til deres callcentre, hvilket øger illusionen om legitimitet og øger succesraten for deres svigagtige aktiviteter.
Ofre for Letscall Malware kan opleve store økonomiske tab
Eftervirkningerne af sådanne angreb kan være meget virkningsfulde og placere ofrene under vægten af betydelige lån, som de skal tilbagebetale. Desværre undervurderer finansielle institutioner ofte alvoren af disse invasioner og forsømmer at undersøge potentielle tilfælde af bedrageri grundigt.
Selvom denne særlige trussel i øjeblikket er begrænset til Sydkorea, advarer forskere om, at der ikke er nogen tekniske barrierer, der forhindrer disse angribere i at udvide deres rækkevidde til andre regioner, herunder EU. Dette potentiale for udvidelse fremhæver cyberkriminelles tilpasningsevne og smidighed til at udnytte teknologi til ondsindede formål.
Denne nye variant af vishing-angreb tjener som en skarp påmindelse om den stadigt udviklende karakter af kriminelle taktikker og deres dygtighed til at udnytte teknologien til uhyggelige formål. Gruppen, der er ansvarlig for udviklingen af Letscall Malware, udviser en dyb forståelse af Android-sikkerhed og voice routing-teknologier og viser deres sofistikerede viden på disse områder.
