Phần mềm độc hại Letscall Mobile
Một cảnh báo liên quan đến sự gia tăng của một hình thức lừa đảo bằng giọng nói tinh vi (vishing) có tên là 'Letscall' đã được các nhà nghiên cứu an ninh mạng đưa ra. Kỹ thuật đặc biệt này hiện đang được khai thác để nhắm mục tiêu các cá nhân cư trú tại Hàn Quốc.
Thủ phạm đằng sau kế hoạch Letscall sử dụng một loạt các bước phức tạp để lừa nạn nhân tải xuống các ứng dụng độc hại từ một trang web lừa đảo bắt chước Cửa hàng Google Play.
Sau khi phần mềm đe dọa xâm nhập thành công vào thiết bị của nạn nhân, nó sẽ chuyển hướng các cuộc gọi đến trung tâm cuộc gọi dưới sự kiểm soát hoàn toàn của bọn tội phạm. Để tiếp tục đánh lừa các nạn nhân, những người điều hành được đào tạo trong trung tâm cuộc gọi đóng giả nhân viên ngân hàng, nhờ đó chiếm được lòng tin của họ. Thông qua những tương tác gian lận này, những cá nhân nhẹ dạ đã vô tình tiết lộ thông tin bí mật và nhạy cảm cho tội phạm mạng.
Mục lục
Phần mềm độc hại Letscall sử dụng nhiều công nghệ để định tuyến lại lưu lượng thoại
Để hợp lý hóa việc truyền lưu lượng thoại, Letscall kết hợp các công nghệ tiên tiến như Thoại qua IP (VoIP) và WebRTC. Ngoài ra, nó tận dụng các Tiện ích truyền tải phiên cho NAT (STUN) và Truyền tải bằng cách sử dụng rơle xung quanh các giao thức NAT (TURN), bao gồm việc sử dụng các máy chủ STUN của Google. Những công nghệ này cho phép mối đe dọa tạo điều kiện thuận lợi cho các cuộc gọi video và điện thoại chất lượng cao trong khi bỏ qua mọi hạn chế do Dịch địa chỉ mạng (NAT) và tường lửa áp đặt.
Nhóm Letscall bị nghi ngờ bao gồm một nhóm các chuyên gia lành nghề có chuyên môn trong các lĩnh vực khác nhau. Điều này bao gồm các nhà phát triển Android, nhà thiết kế, nhà phát triển giao diện người dùng và phụ trợ, cũng như các nhà điều hành cuộc gọi chuyên về các cuộc tấn công kỹ thuật xã hội bằng giọng nói. Các kỹ năng và kiến thức kết hợp của họ cho phép họ tạo, quản lý và thực hiện các hoạt động tinh vi liên quan đến chiến dịch Letscall.
Chuỗi hoạt động phức tạp và khả năng trốn tránh đáng kể được quan sát thấy trong phần mềm độc hại Letscall
Phần mềm độc hại Letscall hoạt động thông qua quy trình ba giai đoạn được xác định rõ. Đầu tiên, một ứng dụng tải xuống được triển khai cho thiết bị của nạn nhân, đây là bước chuẩn bị cho việc cài đặt phần mềm gián điệp mạnh. Tiếp theo, phần mềm gián điệp sẽ bắt đầu giai đoạn cuối cùng, cho phép định tuyến lại các cuộc gọi đến trung tâm cuộc gọi do những kẻ tấn công kiểm soát.
Trong giai đoạn thứ ba, phần mềm độc hại thực hiện một tập hợp các lệnh riêng biệt, bao gồm cả những lệnh được thực thi thông qua các lệnh của ổ cắm Web. Một số lệnh này xoay quanh thao tác với sổ địa chỉ của thiết bị, chẳng hạn như tạo và xóa danh bạ. Những người khác liên quan đến việc tạo, sửa đổi và loại bỏ các bộ lọc xác định cuộc gọi nào sẽ bị chặn và cuộc gọi nào sẽ bị bỏ qua.
Điều khác biệt giữa Letscall với các mối đe dọa phần mềm độc hại tương tự khác là việc sử dụng các kỹ thuật trốn tránh nâng cao. Phần mềm độc hại kết hợp các phương pháp che giấu Tencent Legu và Bangcle (SecShell) trong giai đoạn tải xuống ban đầu. Trong các giai đoạn tiếp theo, nó sử dụng các cấu trúc đặt tên phức tạp trong các thư mục tệp ZIP và cố tình làm hỏng tệp kê khai để làm xáo trộn ý định của nó và gây nhầm lẫn cho các hệ thống bảo mật, do đó tránh bị phát hiện.
Những tên tội phạm đằng sau Letscall cũng đã phát triển các hệ thống tự động bắt đầu cuộc gọi đến nạn nhân của chúng, phát các tin nhắn được ghi âm trước để đánh lừa họ thêm nữa. Bằng cách kết hợp việc lây nhiễm điện thoại di động với các kỹ thuật lừa đảo, những kẻ lừa đảo này có thể yêu cầu các khoản vay vi mô dưới tên nạn nhân đồng thời cảnh báo họ về các hoạt động đáng ngờ có chủ đích. Ngoài ra, họ chuyển hướng các cuộc gọi đến các trung tâm cuộc gọi của họ, tạo thêm ảo tưởng về tính hợp pháp và tăng tỷ lệ thành công cho các hoạt động lừa đảo của họ.
Nạn nhân của phần mềm độc hại Letscall có thể bị tổn thất tài chính nặng nề
Hậu quả của các cuộc tấn công như vậy có thể có tác động lớn, đặt nạn nhân dưới gánh nặng của các khoản vay lớn mà họ phải trả. Thật không may, các tổ chức tài chính thường đánh giá thấp mức độ nghiêm trọng của những cuộc xâm lược này và bỏ qua việc điều tra kỹ lưỡng các trường hợp gian lận tiềm ẩn.
Mặc dù mối đe dọa đặc biệt này hiện chỉ giới hạn ở Hàn Quốc, nhưng các nhà nghiên cứu cảnh báo rằng không có rào cản kỹ thuật nào ngăn cản những kẻ tấn công này mở rộng phạm vi tiếp cận sang các khu vực khác, bao gồm cả Liên minh châu Âu. Tiềm năng mở rộng này làm nổi bật khả năng thích ứng và sự nhanh nhẹn của tội phạm mạng trong việc khai thác công nghệ cho mục đích xấu.
Biến thể mới nổi của các cuộc tấn công lừa đảo đóng vai trò như một lời nhắc nhở rõ ràng về bản chất không ngừng phát triển của các chiến thuật tội phạm và sự lão luyện của chúng trong việc tận dụng công nghệ cho các mục đích bất chính. Nhóm chịu trách nhiệm phát triển Phần mềm độc hại Letscall thể hiện sự hiểu biết sâu sắc về các công nghệ định tuyến giọng nói và bảo mật của Android, đồng thời thể hiện kiến thức tinh vi của họ trong các lĩnh vực này.
