El malware 'Letscall' lleva el vishing a un nuevo nivel

Recientemente, los investigadores alertaron al público sobre un nuevo y avanzado tipo de estafa de phishing (vishing) de voz llamada "Letscall". Este método particular de engaño se está empleando actualmente para atacar a personas en Corea del Sur.

Los delincuentes que orquestan el esquema "Letscall" siguen una serie de pasos para engañar a sus víctimas para que descarguen aplicaciones dañinas de un sitio web falsificado de Google Play Store.

Una vez que se instala el software malicioso, desvía las llamadas entrantes a un centro de llamadas controlado por los delincuentes. Individuos capacitados que se hacen pasar por empleados bancarios luego manipulan a las víctimas desprevenidas para que divulguen información confidencial.

Para facilitar el flujo fluido del tráfico de voz, "Letscall" aprovecha tecnologías de vanguardia como voz sobre IP (VOIP) y WebRTC. También utiliza protocolos avanzados como Session Traversal Utilities for NAT (STUN) y Transversal Using Relays around NAT (TURN), incluidos los servidores Google STUN, para garantizar llamadas telefónicas o videollamadas de alta calidad sin pasar por las restricciones de firewall y NAT.

El grupo "Letscall" está compuesto por desarrolladores, diseñadores, desarrolladores frontend y backend de Android y operadores de llamadas que se especializan en ataques de ingeniería social basados en voz.

Modo de operación Letscall

El malware opera en tres etapas distintas. Inicialmente, una aplicación de descarga prepara el dispositivo de la víctima, allanando el camino para la instalación de un poderoso software espía. Este spyware luego activa la etapa final, lo que permite el desvío de las llamadas entrantes al centro de llamadas de los atacantes.

Según un informe de la empresa de seguridad móvil holandesa ThreatFabric, la tercera etapa está equipada con su propio conjunto de comandos, incluidos los comandos de socket web. Algunos de estos comandos se centran en manipular la libreta de direcciones mediante la creación o eliminación de contactos, mientras que otros implican la creación, modificación o eliminación de filtros que determinan qué llamadas deben interceptarse o ignorarse.

Lo que distingue a "Letscall" es su utilización de técnicas avanzadas de evasión. El malware incorpora la ofuscación de Tencent Legu y Bangcle (SecShell) durante la descarga inicial. En etapas posteriores, emplea estructuras de nombres complejas en directorios de archivos ZIP y corrompe intencionalmente el manifiesto para confundir y eludir los sistemas de seguridad.

Los delincuentes han desarrollado sistemas automatizados que realizan llamadas a las víctimas y reproducen mensajes pregrabados para seguir engañándolas. Al combinar infecciones de teléfonos móviles con técnicas de vishing, estos estafadores pueden solicitar microcréditos a nombre de las víctimas mientras las convencen de actividades sospechosas y redirigen las llamadas a sus propios centros.

El daño de este tipo de ataque puede ser severo, cargando a las víctimas con préstamos sustanciales para pagar. Las instituciones financieras a menudo subestiman la gravedad de estas invasiones y no investigan a fondo los posibles casos de fraude.

Si bien esta amenaza actualmente se limita a Corea del Sur, los investigadores advierten que no existen barreras técnicas que impidan que estos atacantes expandan sus operaciones a otras regiones, incluida la Unión Europea.