Το κακόβουλο λογισμικό «Letscall» οδηγεί το Vishing σε νέο επίπεδο

Οι ερευνητές ειδοποίησαν πρόσφατα το κοινό για έναν νέο και προηγμένο τύπο απάτης φωνητικού ψαρέματος (vishing) που ονομάζεται "Letscall". Αυτή η συγκεκριμένη μέθοδος εξαπάτησης χρησιμοποιείται επί του παρόντος για να στοχεύσει άτομα στη Νότια Κορέα.

Οι εγκληματίες που ενορχηστρώνουν το πρόγραμμα "Letscall" ακολουθούν μια σειρά βημάτων για να ξεγελάσουν τα θύματά τους ώστε να κατεβάσουν επιβλαβείς εφαρμογές από έναν πλαστό ιστότοπο του Google Play Store.

Μόλις εγκατασταθεί το κακόβουλο λογισμικό, επαναδρομολογεί τις εισερχόμενες κλήσεις σε ένα τηλεφωνικό κέντρο που ελέγχεται από τους εγκληματίες. Εκπαιδευμένα άτομα που παρουσιάζονται ως τραπεζικοί υπάλληλοι χειραγωγούν στη συνέχεια ανυποψίαστα θύματα για να αποκαλύψουν ευαίσθητες πληροφορίες.

Για να διευκολύνει την ομαλή ροή της φωνητικής κίνησης, το "Letscall" αξιοποιεί τεχνολογίες αιχμής όπως η φωνή μέσω IP (VOIP) και το WebRTC. Χρησιμοποιεί επίσης προηγμένα πρωτόκολλα όπως Session Traversal Utilities για NAT (STUN) και Traversal Using Relays γύρω από το NAT (TURN), συμπεριλαμβανομένων των διακομιστών Google STUN, για τη διασφάλιση υψηλής ποιότητας τηλεφωνικών κλήσεων ή βιντεοκλήσεων παρακάμπτοντας τους περιορισμούς NAT και τείχους προστασίας.

Η ομάδα "Letscall" αποτελείται από προγραμματιστές Android, σχεδιαστές, προγραμματιστές frontend και backend και χειριστές κλήσεων που ειδικεύονται σε επιθέσεις κοινωνικής μηχανικής που βασίζονται σε φωνή.

Letscall Τρόπος Λειτουργίας

Το κακόβουλο λογισμικό λειτουργεί σε τρία διαφορετικά στάδια. Αρχικά, μια εφαρμογή λήψης προετοιμάζει τη συσκευή του θύματος, ανοίγοντας το δρόμο για την εγκατάσταση ισχυρού λογισμικού κατασκοπείας. Αυτό το λογισμικό κατασκοπείας ενεργοποιεί στη συνέχεια το τελικό στάδιο, επιτρέποντας την αναδρομολόγηση των εισερχόμενων κλήσεων στο τηλεφωνικό κέντρο των εισβολέων.

Σύμφωνα με μια έκθεση της ολλανδικής εταιρείας ασφάλειας κινητής τηλεφωνίας ThreatFabric, το τρίτο στάδιο είναι εξοπλισμένο με το δικό του σύνολο εντολών, συμπεριλαμβανομένων εντολών υποδοχής Web. Ορισμένες από αυτές τις εντολές εστιάζουν στον χειρισμό του βιβλίου διευθύνσεων δημιουργώντας ή αφαιρώντας επαφές, ενώ άλλες περιλαμβάνουν τη δημιουργία, την τροποποίηση ή την αφαίρεση φίλτρων που καθορίζουν ποιες κλήσεις πρέπει να υποκλαπούν ή να αγνοηθούν.

Αυτό που ξεχωρίζει το "Letscall" είναι η χρήση προηγμένων τεχνικών φοροδιαφυγής. Το κακόβουλο λογισμικό ενσωματώνει τη συσκότιση Tencent Legu και Bangcle (SecShell) κατά την αρχική λήψη. Σε μεταγενέστερα στάδια, χρησιμοποιεί περίπλοκες δομές ονομασίας σε καταλόγους αρχείων ZIP και σκόπιμα καταστρέφει το μανιφέστο για να μπερδέψει και να παρακάμψει τα συστήματα ασφαλείας.

Οι εγκληματίες έχουν αναπτύξει αυτοματοποιημένα συστήματα που πραγματοποιούν κλήσεις στα θύματα και παίζουν προηχογραφημένα μηνύματα για να τα εξαπατήσουν περαιτέρω. Συνδυάζοντας μολύνσεις κινητών τηλεφώνων με τεχνικές vishing, αυτοί οι απατεώνες μπορούν να ζητήσουν μικροδάνεια με τα ονόματα των θυμάτων, πείθοντάς τα για ύποπτες δραστηριότητες και ανακατευθύνοντας τις κλήσεις στα δικά τους κέντρα.

Η ζημιά από αυτό το είδος επίθεσης μπορεί να είναι σοβαρή, επιβαρύνοντας τα θύματα με σημαντικά δάνεια προς αποπληρωμή. Τα χρηματοπιστωτικά ιδρύματα συχνά υποτιμούν τη σοβαρότητα αυτών των εισβολών και αποτυγχάνουν να διερευνήσουν διεξοδικά πιθανές περιπτώσεις απάτης.

Αν και αυτή η απειλή περιορίζεται επί του παρόντος στη Νότια Κορέα, οι ερευνητές προειδοποιούν ότι δεν υπάρχουν τεχνικά εμπόδια που να εμποδίζουν αυτούς τους επιτιθέμενους να επεκτείνουν τις δραστηριότητές τους σε άλλες περιοχές, συμπεριλαμβανομένης της Ευρωπαϊκής Ένωσης.