Mobilne złośliwe oprogramowanie Letscall
Naukowcy zajmujący się cyberbezpieczeństwem wydali ostrzeżenie dotyczące pojawienia się wyrafinowanej formy phishingu głosowego (vishing) o nazwie „Letscall”. Ta konkretna technika jest obecnie wykorzystywana do kierowania ataków na osoby mieszkające w Korei Południowej.
Sprawcy stojący za schematem Letscall stosują szereg skomplikowanych kroków, aby nakłonić swoje ofiary do pobrania złośliwych aplikacji z oszukańczej witryny imitującej Sklep Google Play.
Gdy groźne oprogramowanie pomyślnie przeniknie do urządzenia ofiary, przekierowuje połączenia przychodzące do call center znajdującego się pod pełną kontrolą przestępców. Aby jeszcze bardziej oszukać ofiary, przeszkoleni operatorzy w call center podszywają się pod pracowników banku, zdobywając w ten sposób ich zaufanie. Poprzez te oszukańcze interakcje niczego niepodejrzewające osoby nieświadomie ujawniają cyberprzestępcom poufne i poufne informacje.
Spis treści
Złośliwe oprogramowanie Letscall wykorzystuje wiele technologii do przekierowywania ruchu głosowego
Aby usprawnić transmisję ruchu głosowego, Letscall wykorzystuje zaawansowane technologie, takie jak Voice over IP (VoIP) i WebRTC. Dodatkowo wykorzystuje narzędzia Session Traversal Utilities for NAT (STUN) i Traversal using Relays wokół protokołów NAT (TURN), które obejmują wykorzystanie serwerów Google STUN. Technologie te umożliwiają zagrożeniu ułatwienie połączeń telefonicznych i wideo wysokiej jakości przy jednoczesnym pominięciu wszelkich ograniczeń nałożonych przez translację adresów sieciowych (NAT) i zapory sieciowe.
Podejrzewa się, że grupa Letscall składa się z zespołu wykwalifikowanych specjalistów z doświadczeniem w różnych dziedzinach. Obejmuje to programistów Androida, projektantów, programistów frontendu i backendu, a także operatorów połączeń, którzy specjalizują się w głosowych atakach socjotechnicznych. Ich połączone umiejętności i wiedza pozwalają im tworzyć, zarządzać i przeprowadzać skomplikowane operacje związane z kampanią Letscall.
Złożony łańcuch operacji i znaczące możliwości unikania zaobserwowane w złośliwym oprogramowaniu Letscall
Szkodliwe oprogramowanie Letscall działa w ramach dobrze zdefiniowanego trzyetapowego procesu. Po pierwsze, na urządzeniu ofiary instalowana jest aplikacja do pobierania, która służy jako krok przygotowawczy do instalacji silnego oprogramowania szpiegującego. Następnie spyware inicjuje ostatni etap, umożliwiając przekierowanie połączeń przychodzących do call center kontrolowanego przez atakujących.
Na trzecim etapie złośliwe oprogramowanie wykonuje odrębny zestaw poleceń, w tym te wykonywane za pomocą poleceń gniazd sieciowych. Niektóre z tych poleceń dotyczą manipulowania książką adresową urządzenia, na przykład tworzenia i usuwania kontaktów. Inne obejmują tworzenie, modyfikowanie i usuwanie filtrów określających, które połączenia powinny być przechwytywane, a które ignorowane.
Tym, co odróżnia Letscall od innych podobnych zagrożeń złośliwym oprogramowaniem, jest zastosowanie zaawansowanych technik unikania. Złośliwe oprogramowanie wykorzystuje metody zaciemniania Tencent Legu i Bangcle (SecShell) podczas początkowej fazy pobierania. Na kolejnych etapach wykorzystuje skomplikowane struktury nazewnictwa w katalogach plików ZIP i celowo uszkadza plik manifestu, aby zaciemnić swoje intencje i zdezorientować systemy bezpieczeństwa, unikając w ten sposób wykrycia.
Przestępcy stojący za Letscall opracowali również zautomatyzowane systemy, które inicjują połączenia z ofiarami, odtwarzając wcześniej nagrane wiadomości, aby je dalej oszukiwać. Łącząc infekcję telefonów komórkowych z technikami vishing, oszuści ci mogą żądać mikropożyczek na nazwiska ofiar, jednocześnie alarmując je o rzekomych podejrzanych działaniach. Dodatkowo przekierowują połączenia do swoich call center, zwiększając iluzję legalności i zwiększając wskaźnik sukcesu swoich oszukańczych działań.
Ofiary złośliwego oprogramowania Letscall mogą doświadczyć ogromnych strat finansowych
Reperkusje takich ataków mogą być bardzo poważne, narażając ofiary na znaczne pożyczki, które muszą spłacić. Niestety, instytucje finansowe często nie doceniają wagi tych inwazji i zaniedbują dokładne badanie potencjalnych przypadków oszustw.
Chociaż to szczególne zagrożenie ogranicza się obecnie do Korei Południowej, naukowcy ostrzegają, że nie istnieją żadne bariery techniczne uniemożliwiające atakującym rozszerzenie zasięgu na inne regiony, w tym Unię Europejską. Ten potencjał ekspansji podkreśla zdolności adaptacyjne i zwinność cyberprzestępców w wykorzystywaniu technologii do złośliwych celów.
Ten wyłaniający się wariant ataków vishingowych stanowi dobitne przypomnienie stale ewoluującego charakteru taktyk przestępczych i ich biegłości w wykorzystywaniu technologii do nikczemnych celów. Grupa odpowiedzialna za opracowanie Letscall Malware wykazała się dogłębną znajomością technologii bezpieczeństwa Androida i routingu głosowego, prezentując swoją zaawansowaną wiedzę w tych obszarach.
