Letscall Mobile Malware
En varning om uppkomsten av en sofistikerad form av röstnätfiske (vishing) kallad 'Letscall' har utfärdats av cybersäkerhetsforskare. Denna speciella teknik utnyttjas för närvarande för att rikta in sig på individer som bor i Sydkorea.
Gärningsmännen bakom Letscall-programmet använder en rad intrikata steg för att lura sina offer att ladda ner skadliga program från en bedräglig webbplats som imiterar Google Play Butik.
När den hotande programvaran framgångsrikt infiltrerar offrets enhet, vidarekopplar den inkommande samtal till ett callcenter under fullständig kontroll av brottslingarna. För att ytterligare lura offren utbildar utbildade operatörer inom callcentret sig som bankanställda och vinner därmed deras förtroende. Genom dessa bedrägliga interaktioner avslöjar intet ont anande individer omedvetet känslig och konfidentiell information till cyberbrottslingarna.
Innehållsförteckning
Letscall Malware använder flera tekniker för att omdirigera rösttrafik
För att effektivisera överföringen av rösttrafik, införlivar Letscall avancerad teknik som Voice over IP (VoIP) och WebRTC. Dessutom utnyttjar den Session Traversal Utilities för NAT (STUN) och Traversal Using Relays kring NAT (TURN)-protokoll, som inkluderar användningen av Googles STUN-servrar. Dessa tekniker gör det möjligt för hotet att underlätta telefon- och videosamtal av hög kvalitet samtidigt som de kringgår alla begränsningar som införs av Network Address Translation (NAT) och brandväggar.
Letscall-gruppen misstänks bestå av ett team av skickliga yrkesmän med expertis inom olika områden. Detta inkluderar Android-utvecklare, designers, frontend- och backend-utvecklare, såväl som samtalsoperatörer som är specialiserade på röst-social engineering-attacker. Deras kombinerade färdigheter och kunskap gör att de kan skapa, hantera och utföra de sofistikerade operationerna som är involverade i Letscall-kampanjen.
En komplicerad operationskedja och betydande möjligheter till undvikande som observerats i Letscall Malware
Letscall skadlig programvara fungerar genom en väldefinierad process i tre steg. För det första distribueras en nedladdningsapp till offrets enhet, vilket fungerar som ett förberedande steg för installationen av potenta spionprogram. Därefter initierar spionprogrammet det sista steget, vilket möjliggör omdirigering av inkommande samtal till det callcenter som kontrolleras av angriparna.
I det tredje steget utför skadlig programvara en distinkt uppsättning kommandon, inklusive de som exekveras genom webbsockets kommandon. Vissa av dessa kommandon kretsar kring att manipulera enhetens adressbok, som att skapa och ta bort kontakter. Andra involverar skapande, modifiering och borttagning av filter som bestämmer vilka samtal som ska avlyssnas och vilka som ska ignoreras.
Det som skiljer Letscall från andra liknande hot mot skadlig programvara är dess användning av avancerade undanflyktstekniker. Skadlig programvara innehåller Tencent Legu och Bangcle (SecShell) fördunklingsmetoder under den första nedladdningsfasen. I efterföljande steg använder den intrikata namnstrukturer i ZIP-filkataloger och korrumperar avsiktligt manifestfilen för att fördunkla dess avsikter och förvirra säkerhetssystem, och på så sätt undvika upptäckt.
Brottslingarna bakom Letscall har också utvecklat automatiserade system som initierar samtal till sina offer och spelar upp förinspelade meddelanden för att lura dem ytterligare. Genom att kombinera infektionen av mobiltelefoner med vishing-tekniker kan dessa bedragare begära mikrolån i offrens namn samtidigt som de larmar dem om påstådda misstänkta aktiviteter. Dessutom omdirigerar de samtal till sina callcenter, vilket ökar illusionen av legitimitet och ökar framgångsfrekvensen för deras bedrägliga aktiviteter.
Offer för Letscall Malware kan uppleva stora ekonomiska förluster
Följderna av sådana attacker kan vara mycket slagkraftiga och placera offren under vikten av betydande lån som de måste betala tillbaka. Tyvärr underskattar finansiella institutioner ofta allvaret av dessa invasioner och försummar att noggrant undersöka potentiella fall av bedrägeri.
Även om detta särskilda hot för närvarande är begränsat till Sydkorea, varnar forskare för att det inte finns några tekniska hinder som hindrar dessa angripare från att utöka sin räckvidd till andra regioner, inklusive EU. Denna expansionspotential belyser anpassningsförmågan och smidigheten hos cyberbrottslingar när det gäller att utnyttja teknik för skadliga syften.
Den här framväxande varianten av vishing-attacker tjänar som en skarp påminnelse om den ständigt utvecklande karaktären av kriminell taktik och deras skicklighet att utnyttja teknologi för skändliga syften. Gruppen som ansvarar för utvecklingen av Letscall Malware uppvisar en djup förståelse för Android-säkerhet och teknik för röstdirigering, och visar upp sin sofistikerade kunskap inom dessa områden.
