'Letscall' Malware tager Vishing til et nyt niveau

Forskere har for nylig advaret offentligheden om en ny og avanceret type stemmephishing (vishing) svindel kaldet "Letscall". Denne særlige metode til bedrageri bliver i øjeblikket brugt til at målrette mod personer i Sydkorea.

De kriminelle, der orkestrerer "Letscall"-ordningen, følger en række trin for at narre deres ofre til at downloade skadelige applikationer fra et forfalsket websted i Google Play Butik.

Når den ondsindede software er installeret, omdirigerer den indgående opkald til et callcenter, der kontrolleres af de kriminelle. Uddannede personer, der udgiver sig for at være bankansatte, manipulerer derefter intetanende ofre til at videregive følsomme oplysninger.

For at lette det jævne flow af stemmetrafik udnytter "Letscall" avancerede teknologier såsom voice over IP (VOIP) og WebRTC. Den bruger også avancerede protokoller som Session Traversal Utilities for NAT (STUN) og Traversal Using Relays around NAT (TURN), inklusive Google STUN-servere, for at sikre højkvalitets telefon- eller videoopkald, samtidig med at NAT- og firewallrestriktioner omgås.

"Letscall"-gruppen omfatter Android-udviklere, -designere, frontend- og backend-udviklere og opkaldsoperatører med speciale i stemmebaserede social engineering-angreb.

Letscall Driftstilstand

Malwaren fungerer i tre forskellige faser. I første omgang forbereder en downloader-app ofrets enhed, hvilket baner vejen for installation af kraftfuld spyware. Denne spyware udløser derefter den sidste fase, hvilket muliggør omdirigering af indgående opkald til angriberens callcenter.

Ifølge en rapport fra det hollandske mobilsikkerhedsfirma ThreatFabric er tredje trin udstyret med sit eget sæt kommandoer, herunder web-socket-kommandoer. Nogle af disse kommandoer fokuserer på at manipulere adressebogen ved at oprette eller fjerne kontakter, mens andre involverer oprettelse, ændring eller fjernelse af filtre, der bestemmer, hvilke opkald der skal opsnappes eller ignoreres.

Det der adskiller "Letscall" er dets brug af avancerede undvigelsesteknikker. Malwaren inkorporerer Tencent Legu og Bangcle (SecShell) sløring under den første download. I senere faser anvender den komplekse navngivningsstrukturer i ZIP-filmapper og korrumperer bevidst manifestet for at forvirre og omgå sikkerhedssystemer.

De kriminelle har udviklet automatiserede systemer, der foretager opkald til ofrene og afspiller forudindspillede beskeder for yderligere at bedrage dem. Ved at kombinere mobiltelefoninfektioner med vishing-teknikker kan disse svindlere anmode om mikrolån under ofrenes navne, mens de overbeviser dem om mistænkelige aktiviteter og omdirigerer opkald til deres egne centre.

Skaderne fra denne type angreb kan være alvorlige og belaste ofrene med betydelige lån at tilbagebetale. Finansielle institutioner undervurderer ofte alvoren af disse invasioner og undlader at grundigt at undersøge potentielle svigsager.

Selvom denne trussel i øjeblikket er begrænset til Sydkorea, advarer forskere om, at der ikke er nogen tekniske barrierer, der forhindrer disse angribere i at udvide deres operationer til andre regioner, herunder EU.