Letscall Mobile Malware
En advarsel angående fremveksten av en sofistikert form for stemmefisking (vishing) kalt 'Letscall' har blitt utstedt av cybersikkerhetsforskere. Denne spesielle teknikken blir for tiden utnyttet for å målrette mot personer bosatt i Sør-Korea.
Gjerningsmennene bak Letscall-ordningen bruker en rekke intrikate trinn for å lure ofrene sine til å laste ned ondsinnede applikasjoner fra et uredelig nettsted som imiterer Google Play Store.
Når den truende programvaren har infiltrert offerets enhet, viderekobler den innkommende anrop til et kundesenter under full kontroll av de kriminelle. For ytterligere å lure ofrene, utgir trente operatører i kundesenteret seg som bankansatte, og får dermed deres tillit. Gjennom disse uredelige interaksjonene avslører intetanende individer ubevisst sensitiv og konfidensiell informasjon til nettkriminelle.
Innholdsfortegnelse
Letscall Malware bruker flere teknologier for å omdirigere taletrafikk
For å effektivisere overføringen av taletrafikk, inkorporerer Letscall avanserte teknologier som Voice over IP (VoIP) og WebRTC. I tillegg utnytter den Session Traversal Utilities for NAT (STUN) og Traversal Using Relays rundt NAT (TURN)-protokoller, som inkluderer bruk av Google STUN-servere. Disse teknologiene gjør det mulig for trusselen å legge til rette for telefon- og videosamtaler av høy kvalitet, samtidig som de omgår eventuelle begrensninger pålagt av Network Address Translation (NAT) og brannmurer.
Letscall-gruppen er mistenkt for å bestå av et team av dyktige fagfolk med ekspertise på ulike områder. Dette inkluderer Android-utviklere, designere, frontend- og backend-utviklere, samt samtaleoperatører som spesialiserer seg på taleangrep for sosial ingeniørkunst. Deres kombinerte ferdigheter og kunnskap lar dem skape, administrere og utføre de sofistikerte operasjonene som er involvert i Letscall-kampanjen.
En kompleks operasjonskjede og betydelige unndragelsesevner observert i Letscall Malware
Letscall malware opererer gjennom en veldefinert tre-trinns prosess. For det første distribueres en nedlastningsapp til offerets enhet, som fungerer som et forberedende trinn for installasjon av potent spionvare. Deretter starter spionvaren den siste fasen, og muliggjør omdirigering av innkommende anrop til kundesenteret kontrollert av angriperne.
I det tredje trinnet utfører skadevaren et distinkt sett med kommandoer, inkludert de som utføres gjennom web-socket-kommandoer. Noen av disse kommandoene dreier seg om å manipulere enhetens adressebok, for eksempel å opprette og slette kontakter. Andre involverer opprettelse, modifikasjon og fjerning av filtre som bestemmer hvilke anrop som skal avlyttes og hvilke som skal ses bort fra.
Det som skiller Letscall fra andre lignende trusler mot skadelig programvare er bruken av avanserte unnvikelsesteknikker. Skadevaren inkorporerer Tencent Legu og Bangcle (SecShell) obfuskasjonsmetoder under den første nedlastingsfasen. I påfølgende stadier bruker den intrikate navnestrukturer i ZIP-filkataloger og korrumperer med vilje manifestfilen for å tilsløre intensjonene og forvirre sikkerhetssystemene, og dermed unngå oppdagelse.
De kriminelle bak Letscall har også utviklet automatiserte systemer som setter i gang anrop til ofrene sine, og spiller av forhåndsinnspilte meldinger for å lure dem videre. Ved å kombinere infeksjon av mobiltelefoner med vishing-teknikker, kan disse svindlerne be om mikrolån i ofrenes navn, samtidig som de alarmerer dem om påståtte mistenkelige aktiviteter. I tillegg omdirigerer de samtaler til deres kundesenter, noe som øker illusjonen av legitimitet og øker suksessraten for svindelaktiviteter.
Ofre for Letscall Malware kan oppleve store økonomiske tap
Konsekvensene av slike angrep kan være svært virkningsfulle, og sette ofrene under vekten av betydelige lån som de må betale tilbake. Dessverre undervurderer finansinstitusjoner ofte alvoret av disse invasjonene og unnlater å undersøke potensielle tilfeller av svindel grundig.
Selv om denne trusselen for øyeblikket er begrenset til Sør-Korea, advarer forskere om at det ikke er noen tekniske barrierer som hindrer disse angriperne i å utvide sin rekkevidde til andre regioner, inkludert EU. Dette utvidelsespotensialet fremhever tilpasningsevnen og smidigheten til nettkriminelle i å utnytte teknologi for ondsinnede formål.
Denne nye varianten av vishing-angrep tjener som en sterk påminnelse om den stadig utviklende karakteren til kriminelle taktikker og deres dyktighet til å utnytte teknologi til uhyggelige formål. Gruppen som er ansvarlig for utviklingen av Letscall Malware viser en dyp forståelse av Android-sikkerhets- og talerutingsteknologier, og viser sin sofistikerte kunnskap på disse områdene.
