Letscall Mobile Malware

אזהרה בנוגע לעלייה של צורה מתוחכמת של דיוג קולי (vishing) בשם 'Letscall' פורסמה על ידי חוקרי אבטחת סייבר. הטכניקה הספציפית הזו מנוצלת כעת כדי להתמקד באנשים המתגוררים בדרום קוריאה.

המבצעים מאחורי תוכנית Letscall נוקטים בסדרה של צעדים מורכבים כדי להערים על קורבנותיהם להוריד אפליקציות זדוניות מאתר הונאה המחקה את חנות Google Play.

ברגע שהתוכנה המאיימת חודרת בהצלחה למכשירו של הקורבן, היא מפנה שיחות נכנסות למוקד טלפוני בשליטה מלאה של הפושעים. כדי להונות עוד יותר את הקורבנות, מפעילים מאומנים במוקד הטלפוני מתחזים לעובדי הבנק, ובכך רוכשים את אמונם. באמצעות אינטראקציות הונאה אלו, אנשים תמימים חושפים ללא ידיעתו מידע רגיש וסודי לפושעי הסייבר.

התוכנה הזדונית של Letscall משתמשת במספר טכנולוגיות לניתוב מחדש של תנועה קולית

כדי לייעל את העברת התעבורה הקולית, Letscall משלבת טכנולוגיות מתקדמות כמו Voice over IP (VoIP) ו-WebRTC. בנוסף, הוא ממנף את כלי העזר למעבר הפעלה עבור NAT (STUN) ומעבר באמצעות ממסרים סביב פרוטוקולי NAT (TURN), הכוללים שימוש בשרתי STUN של Google. טכנולוגיות אלו מאפשרות לאיום לאפשר שיחות טלפון ווידאו באיכות גבוהה תוך עקיפת כל הגבלה המוטלת על ידי תרגום כתובות רשת (NAT) וחומות אש.

על פי החשד, קבוצת Letscall מורכבת מצוות של אנשי מקצוע מיומנים עם מומחיות בתחומים שונים. זה כולל מפתחי אנדרואיד, מעצבים, מפתחי Frontend ו-backend, כמו גם מפעילי שיחות שמתמחים בהתקפות הנדסה חברתית קולית. המיומנויות והידע המשולבים שלהם מאפשרים להם ליצור, לנהל ולבצע את הפעולות המתוחכמות הכרוכות בקמפיין Letscall.

שרשרת פעולה מורכבת ויכולות התחמקות משמעותיות שנצפו בתוכנת Letscall Malware

התוכנה הזדונית של Letscall פועלת באמצעות תהליך מוגדר היטב של שלושה שלבים. ראשית, אפליקציה להורדה נפרסת למכשיר של הקורבן, המשמשת כשלב הכנה להתקנת תוכנות ריגול חזקות. לאחר מכן, תוכנת הריגול מתחילה את השלב האחרון, ומאפשרת ניתוב מחדש של שיחות נכנסות למוקד הטלפוני שנשלט על ידי התוקפים.

בשלב השלישי, התוכנה הזדונית מבצעת קבוצה ברורה של פקודות, כולל אלה המבוצעות באמצעות פקודות שקע אינטרנט. חלק מהפקודות הללו סובבות סביב מניפולציה של פנקס הכתובות של המכשיר, כגון יצירה ומחיקה של אנשי קשר. אחרים כוללים יצירה, שינוי והסרה של מסננים שקובעים אילו שיחות יש ליירט ואיזה יש להתעלם.

מה שמבדיל את Letscall מאיומי תוכנות זדוניות דומות אחרות הוא השימוש שלה בטכניקות התחמקות מתקדמות. התוכנה הזדונית משלבת שיטות ערפול של Tencent Legu ו-Bangcle (SecShell) בשלב ההורדה הראשונית. בשלבים הבאים, הוא משתמש במבני שמות מורכבים בתוך ספריות קבצי ZIP ומשחית בכוונה את קובץ המניפסט כדי לטשטש את כוונותיו ולבלבל את מערכות האבטחה, ובכך להתחמק מזיהוי.

הפושעים מאחורי Letscall פיתחו גם מערכות אוטומטיות היוזמות שיחות לקורבנותיהם, ומשמיעות הודעות מוקלטות מראש כדי להונות אותם הלאה. על ידי שילוב של הדבקה של טלפונים ניידים עם טכניקות וישינג, הרמאים הללו יכולים לבקש הלוואות מיקרו בשמות הקורבנות ובו זמנית להדאיג אותם לגבי פעילויות חשודות לכאורה. בנוסף, הם מפנים שיחות למוקדים הטלפוניים שלהם, מה שמוסיף לאשליית הלגיטימיות ומגדיל את שיעור ההצלחה של פעילויות ההונאה שלהם.

קורבנות של Letscall Malware עלולים לחוות הפסדים כספיים כבדים

ההשלכות של התקפות כאלה יכולות להיות משפיעות מאוד, ולהציב את הקורבנות תחת משקלן של הלוואות משמעותיות שעליהם להחזיר. למרבה הצער, מוסדות פיננסיים לעתים קרובות מזלזלים בחומרת הפלישות הללו ומזניחים לחקור מקרים פוטנציאליים של הונאה ביסודיות.

בעוד האיום הספציפי הזה מוגבל כעת לדרום קוריאה, חוקרים מזהירים כי אין מחסומים טכניים המונעים מהתוקפים הללו להרחיב את טווח ההגעה שלהם לאזורים אחרים, כולל האיחוד האירופי. פוטנציאל התרחבות זה מדגיש את יכולת ההסתגלות והזריזות של פושעי סייבר בניצול טכנולוגיה למטרות זדוניות.

הגרסה המתהווה הזו של התקפות וישינג משמשת תזכורת חדה לאופי ההולך ומתפתח של טקטיקות פליליות ולמיומנותן למינוף טכנולוגיה למטרות מרושעות. הקבוצה האחראית לפיתוח Letscall Malware מציגה הבנה עמוקה של אבטחת אנדרואיד וטכנולוגיות ניתוב קול, ומציגה את הידע המתוחכם שלה בתחומים אלה.