Letscall Mobile -haittaohjelma
Kyberturvallisuustutkijat ovat antaneet varoituksen puheenkalastelun (vishing) kehittyneen muodon, nimeltä "Letscall", noususta. Tätä tekniikkaa hyödynnetään parhaillaan Etelä-Koreassa asuvien henkilöiden kohdistamiseen.
Letscall-järjestelmän taustalla olevat tekijät käyttävät useita monimutkaisia toimenpiteitä huijatakseen uhrinsa lataamaan haitallisia sovelluksia petolliselta verkkosivustolta, joka jäljittelee Google Play Kauppaa.
Kun uhkaava ohjelmisto on onnistuneesti tunkeutunut uhrin laitteeseen, se ohjaa saapuvat puhelut puhelinkeskukseen rikollisten täysin hallinnassa. Uhrien pettämiseksi entisestään puhelinkeskuksen koulutetut operaattorit esiintyvät pankin työntekijöinä ja saavat näin heidän luottamuksensa. Näiden vilpillisten vuorovaikutusten kautta hyväuskoiset henkilöt paljastavat tietämättään arkaluonteisia ja luottamuksellisia tietoja kyberrikollisille.
Sisällysluettelo
Letscall-haittaohjelma käyttää useita tekniikoita ääniliikenteen uudelleenreitittämiseen
Ääniliikenteen siirron tehostamiseksi Letscall sisältää kehittyneitä teknologioita, kuten Voice over IP (VoIP) ja WebRTC. Lisäksi se hyödyntää Session Traversal Utilities for NAT (STUN) ja Traversal Using Relays around NAT (TURN) -protokollia, jotka sisältävät Google STUN -palvelimien käytön. Nämä tekniikat mahdollistavat uhan helpottaa korkealaatuisia puhelin- ja videopuheluita samalla, kun ohitetaan kaikki verkko-osoitteiden kääntämisen (NAT) ja palomuurien asettamat rajoitukset.
Letscall-ryhmän epäillään koostuvan eri alojen asiantuntemuksesta taitavista ammattilaisista. Tämä sisältää Android-kehittäjät, suunnittelijat, käyttöliittymä- ja taustakehittäjät sekä puheluoperaattorit, jotka ovat erikoistuneet äänihyökkäyksiin. Heidän yhdistetyt taitonsa ja tietämyksensä antavat heille mahdollisuuden luoda, hallita ja toteuttaa Letscall-kampanjaan liittyviä hienostuneita toimintoja.
Letscall-haittaohjelmassa havaittu monimutkainen toimintaketju ja merkittävät väistömahdollisuudet
Letscall-haittaohjelma toimii hyvin määritellyn kolmivaiheisen prosessin kautta. Ensinnäkin uhrin laitteeseen asennetaan lataussovellus, joka toimii valmisteluvaiheena tehokkaiden vakoiluohjelmien asennuksessa. Seuraavaksi vakoiluohjelma aloittaa viimeisen vaiheen, jolloin saapuvat puhelut voidaan ohjata uudelleen hyökkääjien hallitsemaan puhelinkeskukseen.
Kolmannessa vaiheessa haittaohjelma suorittaa erillisen joukon komentoja, mukaan lukien Web socket -komentojen kautta suoritetut. Jotkut näistä komennoista pyörivät laitteen osoitekirjan manipuloinnissa, kuten yhteystietojen luomisessa ja poistamisessa. Toiset liittyvät suodattimien luomiseen, muokkaamiseen ja poistamiseen, jotka määrittävät, mitkä puhelut tulisi siepata ja mitkä jättää huomiotta.
Se, mikä erottaa Letscallin muista samankaltaisista haittaohjelmauhista, on sen kehittyneiden kiertotekniikoiden käyttö. Haittaohjelma sisältää Tencent Legu- ja Bangcle (SecShell) -hävitysmenetelmiä latausvaiheessa. Myöhemmissä vaiheissa se käyttää monimutkaisia nimeämisrakenteita ZIP-tiedostohakemistoissa ja tarkoituksella turmelee manifestitiedoston hämärtääkseen sen aikomuksia ja hämmentääkseen turvajärjestelmiä, jolloin vältetään havaitseminen.
Letscallin takana olevat rikolliset ovat myös kehittäneet automatisoituja järjestelmiä, jotka soittavat uhreilleen ja toistavat ennalta tallennettuja viestejä pettääkseen heitä entisestään. Yhdistämällä matkapuhelimien tartunnan vishing-tekniikoihin nämä huijarit voivat pyytää mikrolainoja uhrien nimiin ja samalla hälyttää heitä väitetystä epäilyttävästä toiminnasta. Lisäksi he ohjaavat puhelut puhelinkeskuksiinsa, mikä lisää illuusiota legitiimiydestä ja lisää petollisten toimiensa onnistumisprosenttia.
Letscall-haittaohjelman uhrit voivat kokea valtavia taloudellisia menetyksiä
Tällaisten hyökkäysten seuraukset voivat olla erittäin vaikuttavia, jolloin uhrit joutuvat huomattavien lainojen painoon, jotka heidän on maksettava takaisin. Valitettavasti rahoituslaitokset aliarvioivat usein näiden hyökkäysten vakavuuden ja laiminlyövät mahdollisten petostapausten tutkimisen perusteellisesti.
Vaikka tämä uhka rajoittuu tällä hetkellä Etelä-Koreaan, tutkijat varoittavat, ettei ole olemassa teknisiä esteitä, jotka estäisivät näitä hyökkääjiä laajentamasta ulottuvuuttaan muille alueille, mukaan lukien Euroopan unioniin. Tämä laajentumispotentiaali korostaa kyberrikollisten sopeutumiskykyä ja ketteryyttä teknologian hyväksikäytössä haitallisiin tarkoituksiin.
Tämä vishing-hyökkäysten nouseva muunnelma toimii jyrkänä muistutuksena rikollisten taktiikkojen jatkuvasti kehittyvästä luonteesta ja niiden taitavuudesta hyödyntää teknologiaa pahoihin tarkoituksiin. Letscall-haittaohjelmien kehittämisestä vastaavalla ryhmällä on syvällinen ymmärrys Androidin tietoturva- ja puhereititysteknologioista, ja he esittelevät kehittynyttä tietämystään näillä aloilla.
