Chiamiamolo Mobile Malware
I ricercatori sulla sicurezza informatica hanno emesso un avviso riguardante l'ascesa di una sofisticata forma di phishing vocale (vishing) chiamata "Letscall". Questa particolare tecnica è attualmente sfruttata per prendere di mira individui residenti in Corea del Sud.
Gli autori dello schema Letscall impiegano una serie di intricati passaggi per indurre le loro vittime a scaricare applicazioni dannose da un sito Web fraudolento che imita il Google Play Store.
Una volta che il software minaccioso si è infiltrato con successo nel dispositivo della vittima, devia le chiamate in arrivo a un call center sotto il completo controllo dei criminali. Per ingannare ulteriormente le vittime, operatori addestrati all'interno del call center impersonano impiegati di banca, guadagnandosi così la loro fiducia. Attraverso queste interazioni fraudolente, individui ignari divulgano inconsapevolmente informazioni sensibili e riservate ai criminali informatici.
Sommario
Il malware Letscall utilizza più tecnologie per reindirizzare il traffico vocale
Per semplificare la trasmissione del traffico vocale, Letscall incorpora tecnologie avanzate come Voice over IP (VoIP) e WebRTC. Inoltre, sfrutta i protocolli Session Traversal Utilities for NAT (STUN) e Traversal Using Relays around NAT (TURN), che includono l'utilizzo dei server Google STUN. Queste tecnologie consentono alla minaccia di facilitare telefonate e videochiamate di alta qualità aggirando qualsiasi restrizione imposta da Network Address Translation (NAT) e firewall.
Si sospetta che il gruppo Letscall sia composto da un team di professionisti qualificati con esperienza in varie aree. Ciò include sviluppatori Android, designer, sviluppatori frontend e backend, nonché operatori di chiamata specializzati in attacchi di ingegneria sociale vocale. Le loro capacità e conoscenze combinate consentono loro di creare, gestire ed eseguire le sofisticate operazioni coinvolte nella campagna Letscall.
Una complessa catena di operazioni e significative capacità di evasione osservate nel malware Letscall
Il malware Letscall opera attraverso un ben definito processo in tre fasi. In primo luogo, sul dispositivo della vittima viene distribuita un'app downloader, che funge da passaggio preparatorio per l'installazione di potenti spyware. Successivamente, lo spyware avvia la fase finale, consentendo il reindirizzamento delle chiamate in entrata al call center controllato dagli aggressori.
Nella terza fase, il malware esegue un insieme distinto di comandi, inclusi quelli eseguiti tramite i comandi Web socket. Alcuni di questi comandi riguardano la manipolazione della rubrica del dispositivo, come la creazione e l'eliminazione dei contatti. Altri prevedono la creazione, la modifica e la rimozione di filtri che determinano quali chiamate devono essere intercettate e quali devono essere ignorate.
Ciò che distingue Letscall da altre minacce malware simili è l'utilizzo di tecniche di evasione avanzate. Il malware incorpora i metodi di offuscamento Tencent Legu e Bangcle (SecShell) durante la fase di download iniziale. Nelle fasi successive, utilizza complesse strutture di denominazione all'interno delle directory dei file ZIP e corrompe intenzionalmente il file manifest per offuscare le sue intenzioni e confondere i sistemi di sicurezza, eludendo così il rilevamento.
I criminali dietro Letscall hanno anche sviluppato sistemi automatizzati che avviano chiamate alle loro vittime, riproducendo messaggi preregistrati per ingannarle ulteriormente. Combinando l'infezione dei telefoni cellulari con tecniche di vishing, questi truffatori possono richiedere microprestiti a nome delle vittime, allarmandole contemporaneamente su presunte attività sospette. Inoltre, reindirizzano le chiamate ai loro call center, aumentando l'illusione della legittimità e aumentando il tasso di successo delle loro attività fraudolente.
Le vittime del malware Letscall potrebbero subire ingenti perdite finanziarie
Le ripercussioni di tali attacchi possono essere di grande impatto, ponendo le vittime sotto il peso di ingenti prestiti che devono rimborsare. Sfortunatamente, le istituzioni finanziarie spesso sottovalutano la gravità di queste invasioni e trascurano di indagare a fondo su potenziali casi di frode.
Mentre questa particolare minaccia è attualmente limitata alla Corea del Sud, i ricercatori avvertono che non ci sono barriere tecniche che impediscono a questi aggressori di estendere la loro portata ad altre regioni, inclusa l'Unione Europea. Questo potenziale di espansione evidenzia l'adattabilità e l'agilità dei criminali informatici nello sfruttare la tecnologia per fini malevoli.
Questa variante emergente degli attacchi di vishing funge da duro promemoria della natura in continua evoluzione delle tattiche criminali e della loro abilità nello sfruttare la tecnologia per scopi nefasti. Il gruppo responsabile dello sviluppo di Letscall Malware mostra una profonda conoscenza della sicurezza Android e delle tecnologie di instradamento vocale, dimostrando la propria sofisticata conoscenza in queste aree.
