Laten we mobiele malware bellen
Een waarschuwing voor de opkomst van een geavanceerde vorm van voice phishing (vishing) genaamd 'Letscall' is uitgegeven door cybersecurity-onderzoekers. Deze specifieke techniek wordt momenteel uitgebuit om zich te richten op personen die in Zuid-Korea wonen.
De daders achter het Letscall-plan gebruiken een reeks ingewikkelde stappen om hun slachtoffers te misleiden zodat ze kwaadaardige applicaties downloaden van een frauduleuze website die de Google Play Store imiteert.
Zodra de bedreigende software met succes het apparaat van het slachtoffer heeft geïnfiltreerd, leidt het inkomende oproepen door naar een callcenter onder de volledige controle van de criminelen. Om de slachtoffers verder te misleiden, doen getrainde operators binnen het callcenter zich voor als bankmedewerkers, waardoor ze hun vertrouwen winnen. Door deze frauduleuze interacties geven nietsvermoedende individuen onbewust gevoelige en vertrouwelijke informatie vrij aan de cybercriminelen.
Inhoudsopgave
De Letscall-malware maakt gebruik van meerdere technologieën om spraakverkeer om te leiden
Om de overdracht van spraakverkeer te stroomlijnen, maakt Letscall gebruik van geavanceerde technologieën zoals Voice over IP (VoIP) en WebRTC. Bovendien maakt het gebruik van de Session Traversal Utilities for NAT (STUN) en Traversal Using Relays rond NAT (TURN)-protocollen, waaronder het gebruik van Google STUN-servers. Deze technologieën stellen de dreiging in staat om telefoon- en videogesprekken van hoge kwaliteit mogelijk te maken, terwijl alle beperkingen die worden opgelegd door Network Address Translation (NAT) en firewalls worden omzeild.
De Letscall-groep bestaat vermoedelijk uit een team van bekwame professionals met expertise op verschillende gebieden. Dit omvat Android-ontwikkelaars, ontwerpers, frontend- en backend-ontwikkelaars, evenals oproepoperators die gespecialiseerd zijn in voice social engineering-aanvallen. Hun gecombineerde vaardigheden en kennis stellen hen in staat om de geavanceerde operaties die betrokken zijn bij de Letscall-campagne te creëren, te beheren en uit te voeren.
Een complexe operatieketen en aanzienlijke ontwijkingsmogelijkheden waargenomen in de Letscall-malware
De Letscall-malware werkt via een goed gedefinieerd proces in drie fasen. Ten eerste wordt er een downloader-app op het apparaat van het slachtoffer geïnstalleerd, die dient als voorbereidende stap voor de installatie van krachtige spyware. Vervolgens start de spyware de laatste fase, waardoor inkomende oproepen kunnen worden omgeleid naar het callcenter dat wordt beheerd door de aanvallers.
In de derde fase voert de malware een aparte reeks opdrachten uit, waaronder opdrachten die worden uitgevoerd via Websocket-opdrachten. Sommige van deze opdrachten draaien om het manipuleren van het adresboek van het apparaat, zoals het maken en verwijderen van contacten. Anderen omvatten het maken, wijzigen en verwijderen van filters die bepalen welke oproepen moeten worden onderschept en welke moeten worden genegeerd.
Wat Letscall onderscheidt van andere vergelijkbare malwarebedreigingen, is het gebruik van geavanceerde ontwijkingstechnieken. De malware bevat verduisteringsmethoden van Tencent Legu en Bangcle (SecShell) tijdens de eerste downloadfase. In volgende stadia maakt het gebruik van ingewikkelde naamgevingsstructuren binnen ZIP-bestandsmappen en corrumpeert het opzettelijk het manifestbestand om zijn intenties te verdoezelen en beveiligingssystemen te verwarren, en zo detectie te omzeilen.
De criminelen achter Letscall hebben ook geautomatiseerde systemen ontwikkeld die hun slachtoffers bellen en vooraf opgenomen berichten afspelen om hen verder te misleiden. Door de infectie van mobiele telefoons te combineren met vishing-technieken, kunnen deze fraudeurs microleningen aanvragen op naam van de slachtoffers en hen tegelijkertijd alarmeren over vermeende verdachte activiteiten. Bovendien leiden ze oproepen door naar hun callcenters, wat bijdraagt aan de illusie van legitimiteit en het slagingspercentage van hun frauduleuze activiteiten vergroot.
Slachtoffers van de Letscall-malware kunnen forse financiële verliezen lijden
De repercussies van dergelijke aanvallen kunnen zeer ingrijpend zijn, waardoor slachtoffers onder het gewicht van aanzienlijke leningen komen te staan die ze moeten terugbetalen. Helaas onderschatten financiële instellingen vaak de ernst van deze invasies en verzuimen ze potentiële gevallen van fraude grondig te onderzoeken.
Hoewel deze specifieke dreiging momenteel beperkt is tot Zuid-Korea, waarschuwen onderzoekers dat er geen technische belemmeringen zijn die deze aanvallers ervan weerhouden hun bereik uit te breiden naar andere regio's, waaronder de Europese Unie. Dit uitbreidingspotentieel benadrukt het aanpassingsvermogen en de behendigheid van cybercriminelen bij het exploiteren van technologie voor kwaadaardige doeleinden.
Deze opkomende variant van vishing-aanvallen dient als een grimmige herinnering aan de steeds evoluerende aard van criminele tactieken en hun bedrevenheid in het gebruiken van technologie voor snode doeleinden. De groep die verantwoordelijk is voor de ontwikkeling van Letscall Malware, heeft een diepgaand begrip van Android-beveiligings- en spraakrouteringstechnologieën en toont hun geavanceerde kennis op deze gebieden.
