Letscall Mobile Malware
Μια προειδοποίηση σχετικά με την άνοδο μιας εξελιγμένης μορφής φωνητικού ψαρέματος (vishing) που ονομάζεται «Letscall» έχει εκδοθεί από ερευνητές στον τομέα της κυβερνοασφάλειας. Αυτή η συγκεκριμένη τεχνική χρησιμοποιείται επί του παρόντος για να στοχεύσει άτομα που διαμένουν στη Νότια Κορέα.
Οι δράστες πίσω από το σχέδιο Letscall χρησιμοποιούν μια σειρά από περίπλοκα βήματα για να ξεγελάσουν τα θύματά τους ώστε να κατεβάσουν κακόβουλες εφαρμογές από έναν δόλιο ιστότοπο που μιμείται το Google Play Store.
Μόλις το απειλητικό λογισμικό διεισδύσει με επιτυχία στη συσκευή του θύματος, εκτρέπει τις εισερχόμενες κλήσεις σε ένα τηλεφωνικό κέντρο υπό τον πλήρη έλεγχο των εγκληματιών. Για να εξαπατήσουν περαιτέρω τα θύματα, εκπαιδευμένοι χειριστές στο τηλεφωνικό κέντρο υποδύονται τους τραπεζικούς υπαλλήλους, κερδίζοντας έτσι την εμπιστοσύνη τους. Μέσα από αυτές τις δόλιες αλληλεπιδράσεις, ανυποψίαστα άτομα αποκαλύπτουν εν αγνοία τους ευαίσθητες και εμπιστευτικές πληροφορίες στους εγκληματίες του κυβερνοχώρου.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό Letscall χρησιμοποιεί πολλαπλές τεχνολογίες για την αναδρομολόγηση της κίνησης φωνής
Για να βελτιστοποιήσει τη μετάδοση της φωνητικής κίνησης, το Letscall ενσωματώνει προηγμένες τεχνολογίες όπως Voice over IP (VoIP) και WebRTC. Επιπλέον, αξιοποιεί τα Session Traversal Utilities for NAT (STUN) και Traversal Using Relays γύρω από τα πρωτόκολλα NAT (TURN), τα οποία περιλαμβάνουν τη χρήση διακομιστών Google STUN. Αυτές οι τεχνολογίες επιτρέπουν στην απειλή να διευκολύνει τηλεφωνικές κλήσεις και βιντεοκλήσεις υψηλής ποιότητας, παρακάμπτοντας τους περιορισμούς που επιβάλλονται από τη Μετάφραση Διευθύνσεων Δικτύου (NAT) και τα τείχη προστασίας.
Η ομάδα Letscall υποπτεύεται ότι αποτελείται από μια ομάδα ειδικευμένων επαγγελματιών με εξειδίκευση σε διάφορους τομείς. Αυτό περιλαμβάνει προγραμματιστές Android, σχεδιαστές, προγραμματιστές frontend και backend, καθώς και χειριστές κλήσεων που ειδικεύονται σε επιθέσεις φωνητικής κοινωνικής μηχανικής. Οι συνδυασμένες δεξιότητες και οι γνώσεις τους τους επιτρέπουν να δημιουργούν, να διαχειρίζονται και να εκτελούν τις εξελιγμένες λειτουργίες που εμπλέκονται στην καμπάνια Letscall.
Μια σύνθετη αλυσίδα λειτουργίας και σημαντικές δυνατότητες αποφυγής που παρατηρήθηκαν στο κακόβουλο λογισμικό Letscall
Το κακόβουλο λογισμικό Letscall λειτουργεί μέσω μιας καλά καθορισμένης διαδικασίας τριών σταδίων. Πρώτον, μια εφαρμογή λήψης αναπτύσσεται στη συσκευή του θύματος, η οποία χρησιμεύει ως προπαρασκευαστικό βήμα για την εγκατάσταση ισχυρού λογισμικού κατασκοπείας. Στη συνέχεια, το λογισμικό κατασκοπείας εκκινεί το τελικό στάδιο, επιτρέποντας την αναδρομολόγηση των εισερχόμενων κλήσεων στο τηλεφωνικό κέντρο που ελέγχεται από τους εισβολείς.
Στο τρίτο στάδιο, το κακόβουλο λογισμικό εκτελεί ένα ξεχωριστό σύνολο εντολών, συμπεριλαμβανομένων εκείνων που εκτελούνται μέσω εντολών υποδοχής Web. Ορισμένες από αυτές τις εντολές περιστρέφονται γύρω από τον χειρισμό του βιβλίου διευθύνσεων της συσκευής, όπως η δημιουργία και η διαγραφή επαφών. Άλλα περιλαμβάνουν τη δημιουργία, την τροποποίηση και την αφαίρεση φίλτρων που καθορίζουν ποιες κλήσεις θα πρέπει να υποκλαπούν και ποιες θα πρέπει να αγνοηθούν.
Αυτό που διακρίνει το Letscall από άλλες παρόμοιες απειλές κακόβουλου λογισμικού είναι η χρήση προηγμένων τεχνικών φοροδιαφυγής. Το κακόβουλο λογισμικό ενσωματώνει μεθόδους συσκότισης Tencent Legu και Bangcle (SecShell) κατά την αρχική φάση λήψης. Στα επόμενα στάδια, χρησιμοποιεί περίπλοκες δομές ονομασίας μέσα στους καταλόγους αρχείων ZIP και καταστρέφει σκόπιμα το αρχείο δήλωσης για να θολώσει τις προθέσεις του και να μπερδέψει τα συστήματα ασφαλείας, αποφεύγοντας έτσι τον εντοπισμό.
Οι εγκληματίες πίσω από το Letscall έχουν επίσης αναπτύξει αυτοματοποιημένα συστήματα που ξεκινούν κλήσεις προς τα θύματά τους, παίζοντας προηχογραφημένα μηνύματα για να τα εξαπατήσουν περαιτέρω. Συνδυάζοντας τη μόλυνση των κινητών τηλεφώνων με τις τεχνικές vishing, αυτοί οι απατεώνες μπορούν να ζητήσουν μικροδάνεια στα ονόματα των θυμάτων, ενώ ταυτόχρονα τα ανησυχούν για υποτιθέμενες ύποπτες δραστηριότητες. Επιπλέον, ανακατευθύνουν τις κλήσεις στα τηλεφωνικά τους κέντρα, προσθέτοντας την ψευδαίσθηση της νομιμότητας και αυξάνοντας το ποσοστό επιτυχίας των δόλιων δραστηριοτήτων τους.
Τα θύματα του κακόβουλου λογισμικού Letscall θα μπορούσαν να βιώσουν βαριές οικονομικές απώλειες
Ο αντίκτυπος τέτοιων επιθέσεων μπορεί να είναι πολύ επικίνδυνος, θέτοντας τα θύματα κάτω από το βάρος σημαντικών δανείων που πρέπει να αποπληρώσουν. Δυστυχώς, τα χρηματοπιστωτικά ιδρύματα συχνά υποτιμούν τη σοβαρότητα αυτών των εισβολών και παραμελούν να διερευνήσουν ενδελεχώς πιθανές περιπτώσεις απάτης.
Ενώ αυτή η συγκεκριμένη απειλή περιορίζεται επί του παρόντος στη Νότια Κορέα, οι ερευνητές προειδοποιούν ότι δεν υπάρχουν τεχνικά εμπόδια που να εμποδίζουν αυτούς τους επιτιθέμενους να επεκτείνουν την εμβέλειά τους σε άλλες περιοχές, συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης. Αυτή η δυνατότητα επέκτασης υπογραμμίζει την προσαρμοστικότητα και την ευελιξία των εγκληματιών του κυβερνοχώρου στην εκμετάλλευση της τεχνολογίας για κακόβουλους σκοπούς.
Αυτή η αναδυόμενη παραλλαγή των επιθέσεων vishing χρησιμεύει ως μια έντονη υπενθύμιση της συνεχώς εξελισσόμενης φύσης των εγκληματικών τακτικών και της ικανότητάς τους να αξιοποιούν την τεχνολογία για κακόβουλους σκοπούς. Η ομάδα που είναι υπεύθυνη για την ανάπτυξη του Letscall Malware παρουσιάζει μια βαθιά κατανόηση της ασφάλειας Android και των τεχνολογιών δρομολόγησης φωνής, επιδεικνύοντας τις εξελιγμένες γνώσεις της σε αυτούς τους τομείς.
