„Letscall“-Malware bringt Vishing auf ein neues Level

Forscher haben die Öffentlichkeit kürzlich auf eine neue und fortschrittliche Art von Voice-Phishing-Betrug (Vishing) namens „Letscall“ aufmerksam gemacht. Diese besondere Täuschungsmethode wird derzeit gezielt gegen Einzelpersonen in Südkorea eingesetzt.

Die Kriminellen, die das „Letscall“-Programm inszenieren, folgen einer Reihe von Schritten, um ihre Opfer dazu zu verleiten, schädliche Anwendungen von einer gefälschten Google Play Store-Website herunterzuladen.

Sobald die Schadsoftware installiert ist, leitet sie eingehende Anrufe an ein von den Kriminellen kontrolliertes Callcenter um. Geschulte Personen, die sich als Bankangestellte ausgeben, manipulieren dann ahnungslose Opfer dazu, sensible Informationen preiszugeben.

Um den reibungslosen Fluss des Sprachverkehrs zu ermöglichen, nutzt „Letscall“ modernste Technologien wie Voice over IP (VOIP) und WebRTC. Es nutzt außerdem erweiterte Protokolle wie Session Traversal Utilities für NAT (STUN) und Traversal Using Relays around NAT (TURN), einschließlich Google STUN-Servern, um qualitativ hochwertige Telefon- oder Videoanrufe zu gewährleisten und gleichzeitig NAT- und Firewall-Einschränkungen zu umgehen.

Die „Letscall“-Gruppe besteht aus Android-Entwicklern, Designern, Frontend- und Backend-Entwicklern sowie Anrufbetreibern, die auf sprachbasierte Social-Engineering-Angriffe spezialisiert sind.

Funktionsweise von Letscall

Die Malware arbeitet in drei verschiedenen Phasen. Zunächst bereitet eine Downloader-App das Gerät des Opfers vor und ebnet so den Weg für die Installation leistungsstarker Spyware. Diese Spyware löst dann die letzte Stufe aus und ermöglicht die Umleitung eingehender Anrufe an das Callcenter des Angreifers.

Laut einem Bericht des niederländischen Unternehmens für mobile Sicherheit ThreatFabric ist die dritte Stufe mit einem eigenen Befehlssatz ausgestattet, einschließlich Web-Socket-Befehlen. Einige dieser Befehle konzentrieren sich auf die Manipulation des Adressbuchs durch das Erstellen oder Entfernen von Kontakten, während andere das Erstellen, Ändern oder Entfernen von Filtern beinhalten, die bestimmen, welche Anrufe abgefangen oder ignoriert werden sollen.

Was „Letscall“ auszeichnet, ist der Einsatz fortschrittlicher Ausweichtechniken. Die Malware beinhaltet beim ersten Download die Verschleierung von Tencent Legu und Bangcle (SecShell). In späteren Phasen werden komplexe Namensstrukturen in ZIP-Dateiverzeichnissen verwendet und das Manifest absichtlich beschädigt, um Sicherheitssysteme zu verwirren und zu umgehen.

Die Kriminellen haben automatisierte Systeme entwickelt, die Opfer anrufen und zuvor aufgezeichnete Nachrichten abspielen, um sie weiter zu täuschen. Durch die Kombination von Mobiltelefoninfektionen mit Vishing-Techniken können diese Betrüger unter dem Namen der Opfer Mikrokredite beantragen, sie von verdächtigen Aktivitäten überzeugen und Anrufe an ihre eigenen Zentren weiterleiten.

Der Schaden durch diese Art von Angriff kann schwerwiegend sein und die Opfer mit erheblichen Krediten belasten, die sie zurückzahlen müssen. Finanzinstitute unterschätzen oft die Schwere dieser Angriffe und versäumen es, potenzielle Betrugsfälle gründlich zu untersuchen.

Während diese Bedrohung derzeit auf Südkorea beschränkt ist, weisen Forscher darauf hin, dass es keine technischen Hindernisse gibt, die diese Angreifer daran hindern, ihre Aktivitäten auf andere Regionen, einschließlich der Europäischen Union, auszudehnen.