Мобильные вредоносные программы Letscall
Исследователи кибербезопасности выпустили предупреждение о появлении сложной формы голосового фишинга (вишинга) под названием Letscall. Этот конкретный метод в настоящее время используется для нападения на лиц, проживающих в Южной Корее.
Преступники, стоящие за схемой Letscall, используют ряд сложных шагов, чтобы обманом заставить своих жертв загружать вредоносные приложения с мошеннического веб-сайта, имитирующего Google Play Store.
Как только угрожающее программное обеспечение успешно внедряется в устройство жертвы, оно перенаправляет входящие звонки в колл-центр, находящийся под полным контролем преступников. Чтобы еще больше обмануть жертв, обученные операторы колл-центра выдают себя за сотрудников банка, тем самым завоевывая их доверие. Посредством этих мошеннических взаимодействий ничего не подозревающие лица неосознанно разглашают секретную и конфиденциальную информацию киберпреступникам.
Оглавление
Вредоносное ПО Letscall использует несколько технологий для перенаправления голосового трафика
Чтобы упростить передачу голосового трафика, Letscall использует передовые технологии, такие как передача голоса по IP (VoIP) и WebRTC. Кроме того, он использует утилиты обхода сеанса для NAT (STUN) и обхода с использованием ретрансляции вокруг протоколов NAT (TURN), которые включают использование серверов Google STUN. Эти технологии позволяют угрозе обеспечивать высококачественные телефонные и видеозвонки, обходя любые ограничения, налагаемые трансляцией сетевых адресов (NAT) и брандмауэрами.
Предполагается, что группа Letscall состоит из команды квалифицированных специалистов, обладающих опытом в различных областях. Сюда входят разработчики Android, дизайнеры, разработчики интерфейсов и серверных частей, а также операторы связи, специализирующиеся на голосовых атаках социальной инженерии. Их совокупные навыки и знания позволяют им создавать, управлять и выполнять сложные операции, связанные с кампанией Letscall.
Сложная операционная цепочка и значительные возможности уклонения, обнаруженные во вредоносном ПО Letscall
Вредоносное ПО Letscall работает в рамках четко определенного трехэтапного процесса. Во-первых, на устройстве жертвы развертывается приложение-загрузчик, которое служит подготовительным этапом к установке мощного шпионского ПО. Затем шпионское ПО инициирует заключительный этап, позволяющий перенаправлять входящие вызовы в колл-центр, контролируемый злоумышленниками.
На третьем этапе вредоносное ПО выполняет определенный набор команд, в том числе выполняемых через команды веб-сокета. Некоторые из этих команд связаны с управлением адресной книгой устройства, например созданием и удалением контактов. Другие включают создание, модификацию и удаление фильтров, которые определяют, какие вызовы следует перехватывать, а какие игнорировать.
Что отличает Letscall от других подобных вредоносных программ, так это использование передовых методов уклонения. Вредоносное ПО использует методы обфускации Tencent Legu и Bangcle (SecShell) на начальном этапе загрузки. На последующих этапах он использует сложные структуры именования в каталогах ZIP-файлов и преднамеренно повреждает файл манифеста, чтобы скрыть свои намерения и ввести в заблуждение системы безопасности, тем самым избегая обнаружения.
Преступники, стоящие за Letscall, также разработали автоматизированные системы, которые инициируют звонки своим жертвам, проигрывая предварительно записанные сообщения, чтобы обмануть их еще больше. Сочетая заражение мобильных телефонов с методами вишинга, эти мошенники могут запрашивать микрокредиты на имя жертв, одновременно предупреждая их о предполагаемых подозрительных действиях. Кроме того, они перенаправляют звонки в свои колл-центры, усиливая иллюзию легитимности и повышая вероятность успеха своих мошеннических действий.
Жертвы вредоносного ПО Letscall могут понести огромные финансовые потери
Последствия таких нападений могут быть очень серьезными, ставя жертв под бремя значительных кредитов, которые они должны погасить. К сожалению, финансовые учреждения часто недооценивают серьезность этих вторжений и пренебрегают тщательным расследованием потенциальных случаев мошенничества.
Хотя эта конкретная угроза в настоящее время ограничена Южной Кореей, исследователи предупреждают, что нет никаких технических барьеров, препятствующих этим злоумышленникам распространить свое влияние на другие регионы, включая Европейский Союз. Этот потенциал для расширения подчеркивает адаптивность и гибкость киберпреступников в использовании технологий в злонамеренных целях.
Этот новый вариант вишинг-атак служит ярким напоминанием о постоянно меняющейся природе преступной тактики и их способности использовать технологии в гнусных целях. Группа, ответственная за разработку вредоносного ПО Letscall, демонстрирует глубокое понимание технологий безопасности Android и голосовой маршрутизации, демонстрируя свои глубокие знания в этих областях.
