Letscall 移动恶意软件
网络安全研究人员针对一种名为“Letscall”的复杂语音网络钓鱼形式的兴起发出了警告。目前,这种特殊技术正被用来针对居住在韩国的个人。
Letscall 计划背后的犯罪者采用了一系列复杂的步骤来诱骗受害者从模仿 Google Play 商店的欺诈网站下载恶意应用程序。
一旦威胁软件成功渗透受害者的设备,它就会将来电转移到犯罪分子完全控制的呼叫中心。为了进一步欺骗受害者,呼叫中心内经过培训的操作员冒充银行员工,从而获得他们的信任。通过这些欺诈性互动,毫无戒心的个人在不知不觉中向网络犯罪分子泄露了敏感和机密信息。
目录
Letscall 恶意软件利用多种技术重新路由语音流量
为了简化语音流量的传输,Letscall 结合了 IP 语音 (VoIP) 和 WebRTC 等先进技术。此外,它还利用 NAT 会话遍历实用程序 (STUN) 和围绕 NAT (TURN) 协议使用中继进行遍历,其中包括使用 Google STUN 服务器。这些技术使威胁能够促进高质量的电话和视频通话,同时绕过网络地址转换 (NAT) 和防火墙施加的任何限制。
Letscall 集团疑似由一支在各个领域拥有专业知识的熟练专业团队组成。这包括 Android 开发人员、设计师、前端和后端开发人员,以及专门从事语音社会工程攻击的呼叫操作员。他们的综合技能和知识使他们能够创建、管理和执行 Letscall 活动中涉及的复杂操作。
Letscall恶意软件复杂的操作链和显着的规避能力
Letscall 恶意软件通过明确定义的三阶段过程进行操作。首先,下载器应用程序被部署到受害者的设备上,这是安装强效间谍软件的准备步骤。接下来,间谍软件启动最后阶段,将传入呼叫重新路由到攻击者控制的呼叫中心。
在第三阶段,恶意软件执行一组不同的命令,包括通过 Web 套接字命令执行的命令。其中一些命令涉及操作设备的地址簿,例如创建和删除联系人。其他涉及创建、修改和删除过滤器,以确定哪些调用应该被拦截,哪些调用应该被忽略。
Letscall 与其他类似恶意软件威胁的区别在于它采用了先进的规避技术。该恶意软件在初始下载阶段结合了腾讯Legu和Bangcle(SecShell)混淆方法。在后续阶段,它在 ZIP 文件目录中采用复杂的命名结构,并故意破坏清单文件,以混淆其意图并迷惑安全系统,从而逃避检测。
Letscall 背后的犯罪分子还开发了自动化系统,可以向受害者发起呼叫,播放预先录制的消息以进一步欺骗他们。通过将手机感染与网络钓鱼技术相结合,这些诈骗者可以以受害者的名义请求小额贷款,同时警告他们有关所谓的可疑活动。此外,他们还将呼叫重定向至呼叫中心,增加了合法性的假象,并提高了欺诈活动的成功率。
Letscall 恶意软件的受害者可能会遭受巨大的经济损失
此类攻击的影响可能非常严重,使受害者承受必须偿还的巨额贷款的压力。不幸的是,金融机构常常低估这些入侵的严重性,并忽视彻底调查潜在的欺诈事件。
虽然这种特殊威胁目前仅限于韩国,但研究人员警告说,没有技术障碍可以阻止这些攻击者将其影响范围扩大到包括欧盟在内的其他地区。这种扩张的潜力凸显了网络犯罪分子利用技术达到恶意目的的适应性和敏捷性。
这种新兴的网络钓鱼攻击变体清楚地提醒人们犯罪策略不断演变的性质以及他们利用技术达到邪恶目的的熟练程度。负责开发 Letscall 恶意软件的团队对 Android 安全和语音路由技术有着深入的了解,展示了他们在这些领域的丰富知识。
