Le logiciel malveillant « Letscall » fait passer le vishing à un nouveau niveau

Des chercheurs ont récemment alerté le public sur un nouveau type avancé d'escroquerie par hameçonnage vocal (vishing) appelée "Letscall". Cette méthode particulière de tromperie est actuellement utilisée pour cibler des individus en Corée du Sud.

Les criminels qui orchestrent le stratagème "Letscall" suivent une série d'étapes pour inciter leurs victimes à télécharger des applications nuisibles à partir d'un site Web Google Play Store contrefait.

Une fois le logiciel malveillant installé, il redirige les appels entrants vers un centre d'appels contrôlé par les criminels. Des personnes formées se faisant passer pour des employés de banque manipulent ensuite des victimes sans méfiance pour qu'elles divulguent des informations sensibles.

Pour faciliter la fluidité du trafic voix, « Letscall » s'appuie sur des technologies de pointe telles que la voix sur IP (VOIP) et le WebRTC. Il utilise également des protocoles avancés tels que Session Traversal Utilities for NAT (STUN) et Traversal Using Relays around NAT (TURN), y compris les serveurs Google STUN, pour garantir des appels téléphoniques ou vidéo de haute qualité tout en contournant les restrictions NAT et pare-feu.

Le groupe "Letscall" comprend des développeurs Android, des concepteurs, des développeurs frontend et backend et des opérateurs d'appel spécialisés dans les attaques d'ingénierie sociale basées sur la voix.

Mode de fonctionnement Letscall

Le logiciel malveillant fonctionne en trois étapes distinctes. Initialement, une application de téléchargement prépare l'appareil de la victime, ouvrant la voie à l'installation de logiciels espions puissants. Ce logiciel espion déclenche alors la dernière étape, permettant le reroutage des appels entrants vers le centre d'appels des attaquants.

Selon un rapport de la société néerlandaise de sécurité mobile ThreatFabric, la troisième étape est équipée de son propre ensemble de commandes, y compris les commandes de socket Web. Certaines de ces commandes se concentrent sur la manipulation du carnet d'adresses en créant ou en supprimant des contacts, tandis que d'autres impliquent la création, la modification ou la suppression de filtres qui déterminent quels appels doivent être interceptés ou ignorés.

Ce qui distingue "Letscall" est son utilisation de techniques d'évasion avancées. Le logiciel malveillant intègre l'obfuscation Tencent Legu et Bangcle (SecShell) lors du téléchargement initial. Dans les étapes ultérieures, il utilise des structures de nommage complexes dans les répertoires de fichiers ZIP et corrompt intentionnellement le manifeste pour semer la confusion et contourner les systèmes de sécurité.

Les criminels ont développé des systèmes automatisés qui appellent les victimes et diffusent des messages préenregistrés pour les tromper davantage. En combinant des infections de téléphones portables avec des techniques de vishing, ces fraudeurs peuvent demander des microcrédits au nom des victimes tout en les convainquant d'activités suspectes et en redirigeant les appels vers leurs propres centres.

Les dommages causés par ce type d'attaque peuvent être graves et imposer aux victimes des prêts substantiels à rembourser. Les institutions financières sous-estiment souvent la gravité de ces invasions et omettent d'enquêter de manière approfondie sur les cas de fraude potentiels.

Bien que cette menace soit actuellement limitée à la Corée du Sud, les chercheurs préviennent qu'il n'existe aucun obstacle technique empêchant ces attaquants d'étendre leurs opérations à d'autres régions, y compris l'Union européenne.