Letscall Mobile Malware
Kiberbiztonsági kutatók figyelmeztetést adtak ki a hangalapú adathalászat (vishing) kifinomult formájának, a „Letscallnak” elterjedésére vonatkozóan. Ezt a különleges technikát jelenleg Dél-Koreában élő egyének megcélzására használják.
A Letscall rendszer elkövetői bonyolult lépések sorozatát alkalmazzák, hogy rávegyék áldozataikat, hogy rosszindulatú alkalmazásokat töltsenek le egy, a Google Play Áruházat utánzó, csaló webhelyről.
Amint a fenyegető szoftver sikeresen behatol az áldozat eszközébe, a bejövő hívásokat a bűnözők teljes irányítása alatt álló telefonközpontba irányítja. Az áldozatok további megtévesztésére a call center képzett operátorai a banki alkalmazottaknak adja ki magát, így elnyerve a bizalmukat. Ezen csalárd interakciókon keresztül a gyanútlan személyek tudtukon kívül érzékeny és bizalmas információkat adnak ki a számítógépes bűnözőknek.
Tartalomjegyzék
A Letscall kártevő többféle technológiát használ a hangforgalom átirányítására
A hangforgalom átvitelének egyszerűsítése érdekében a Letscall olyan fejlett technológiákat tartalmaz, mint a Voice over IP (VoIP) és a WebRTC. Ezenkívül kihasználja a Session Traversal Utilities for NAT (STUN) és a Traversal Using Relays around NAT (TURN) protokollokat, amelyek magukban foglalják a Google STUN szerverek használatát. Ezek a technológiák lehetővé teszik, hogy a fenyegetés megkönnyítse a kiváló minőségű telefon- és videohívásokat, miközben megkerüli a Network Address Translation (NAT) és a tűzfalak által támasztott korlátozásokat.
A Letscall csoport a gyanú szerint képzett, különböző területeken jártas szakemberekből álló csapatból áll. Ide tartoznak az Android fejlesztők, tervezők, frontend és backend fejlesztők, valamint a hangalapú social engineering támadásokra szakosodott híváskezelők. Összesített készségeik és tudásuk lehetővé teszi számukra, hogy létrehozzák, kezeljék és végrehajtsák a Letscall kampányban szereplő kifinomult műveleteket.
Összetett működési lánc és jelentős kijátszási képességek figyelhetők meg a Letscall malware-ben
A Letscall kártevő egy jól meghatározott háromlépcsős folyamaton keresztül működik. Először egy letöltő alkalmazást telepítenek az áldozat eszközére, amely előkészítő lépésként szolgál egy erős kémprogram telepítéséhez. Ezután a kémprogram elindítja az utolsó szakaszt, lehetővé téve a bejövő hívások átirányítását a támadók által irányított call centerbe.
A harmadik szakaszban a rosszindulatú program egy különálló parancskészletet hajt végre, beleértve a Web socket parancsokon keresztül végrehajtottakat is. E parancsok némelyike az eszköz címjegyzékének módosítására irányul, például névjegyek létrehozására és törlésére. Mások olyan szűrők létrehozását, módosítását és eltávolítását foglalják magukban, amelyek meghatározzák, hogy mely hívásokat kell elfogni, és melyeket figyelmen kívül kell hagyni.
A Letscall-t az különbözteti meg a többi hasonló rosszindulatú fenyegetéstől, hogy fejlett kijátszási technikákat alkalmaz. A rosszindulatú program Tencent Legu és Bangcle (SecShell) homályosítási módszereket tartalmaz a letöltés kezdeti szakaszában. A következő szakaszokban bonyolult elnevezési struktúrákat alkalmaz a ZIP-fájlkönyvtárakon belül, és szándékosan megrontja a jegyzékfájlt, hogy elhomályosítsa a szándékait és összezavarja a biztonsági rendszereket, így elkerülve az észlelést.
A Letscall mögött álló bűnözők olyan automatizált rendszereket is kifejlesztettek, amelyek felhívják áldozataikat, előre rögzített üzeneteket játszva le, hogy tovább csalják őket. A mobiltelefonok megfertőzését vishing technikával kombinálva ezek a csalók mikrohiteleket kérhetnek az áldozatok nevére, ugyanakkor riasztják őket az állítólagos gyanús tevékenységekről. Ezen túlmenően átirányítják a hívásokat a telefonos ügyfélszolgálatukra, növelve a legitimitás illúzióját, és növelve csalárd tevékenységeik sikerességét.
A Letscall kártevő áldozatai súlyos anyagi veszteségeket szenvedhetnek el
Az ilyen támadások következményei rendkívül hatásosak lehetnek, és az áldozatokat jelentős kölcsönök súlya alá helyezve, amelyeket vissza kell fizetniük. Sajnos a pénzintézetek gyakran alábecsülik ezeknek az invázióknak a súlyát, és elhanyagolják a lehetséges csalási esetek alapos kivizsgálását.
Noha ez a fenyegetés jelenleg Dél-Koreára korlátozódik, a kutatók arra figyelmeztetnek, hogy nincsenek technikai akadályok, amelyek megakadályoznák ezeket a támadókat abban, hogy más régiókra, köztük az Európai Unióra is kiterjeszthessék hatókörüket. Ez a terjeszkedési lehetőség rávilágít a kiberbűnözők alkalmazkodóképességére és agilitására, amikor rosszindulatú célokra használják ki a technológiát.
A vishing támadások e kialakulóban lévő változata éles emlékeztetőül szolgál a bűnözői taktikák folyamatosan fejlődő természetére és arra, hogy milyen ügyesek a technológia aljas célokra való felhasználása. A Letscall Malware fejlesztéséért felelős csoport mélyen ismeri az Android biztonsági és hangútválasztási technológiáit, bemutatva kifinomult tudásukat ezeken a területeken.
