A „Letscall” rosszindulatú program új szintre emeli a Vishing szolgáltatást

A kutatók a közelmúltban figyelmeztették a közvéleményt a "Letscall" nevű, hangalapú adathalász (vishing) csalás új és fejlett típusára. Ezt a sajátos megtévesztési módszert jelenleg Dél-Koreában egyének megcélzására alkalmazzák.

A „Letscall” sémát szervező bűnözők egy sor lépést követve ráveszik áldozataikat, hogy káros alkalmazásokat töltsenek le egy hamisított Google Play Áruház webhelyről.

A rosszindulatú szoftver telepítése után átirányítja a bejövő hívásokat a bűnözők által irányított telefonközpontba. A képzett egyének, akik banki alkalmazottnak adják ki magukat, manipulálják a gyanútlan áldozatokat, hogy bizalmas információkat adjanak ki.

A hangforgalom zökkenőmentes áramlásának megkönnyítése érdekében a "Letscall" olyan élvonalbeli technológiákat használ, mint a Voice over IP (VOIP) és a WebRTC. Olyan fejlett protokollokat is használ, mint a Session Traversal Utilities for NAT (STUN) és a Traversal Using Relays around NAT (TURN), beleértve a Google STUN szervereket is, hogy kiváló minőségű telefon- vagy videohívásokat biztosítson, miközben megkerüli a NAT- és tűzfalkorlátozásokat.

A "Letscall" csoport Android-fejlesztőkből, tervezőkből, frontend- és háttérfejlesztőkből, valamint hangalapú social engineering támadásokra szakosodott híváskezelőkből áll.

Letscall működési mód

A rosszindulatú program három különböző szakaszban működik. Kezdetben egy letöltő alkalmazás készíti elő az áldozat eszközét, megnyitva az utat a hatékony kémprogramok telepítéséhez. Ez a spyware ezután elindítja az utolsó szakaszt, lehetővé téve a bejövő hívások átirányítását a támadók call centerébe.

A ThreatFabric holland mobilbiztonsági cég jelentése szerint a harmadik fokozat saját parancskészlettel van felszerelve, beleértve a Web socket parancsokat is. E parancsok némelyike a címjegyzék manipulálására összpontosít névjegyek létrehozásával vagy eltávolításával, míg mások olyan szűrők létrehozását, módosítását vagy eltávolítását foglalják magukban, amelyek meghatározzák, hogy mely hívásokat kell elfogni vagy figyelmen kívül hagyni.

A "Letscall"-t a fejlett kijátszási technikák alkalmazása különbözteti meg egymástól. A rosszindulatú program Tencent Legu és Bangcle (SecShell) obfuszkációt tartalmaz a kezdeti letöltés során. A későbbi szakaszokban bonyolult elnevezési struktúrákat alkalmaz a ZIP-fájlok könyvtáraiban, és szándékosan megrontja a jegyzéket, hogy megzavarja és megkerülje a biztonsági rendszereket.

A bűnözők automatizált rendszereket fejlesztettek ki, amelyek felhívják az áldozatokat, és előre felvett üzeneteket játszanak le, hogy tovább csalják őket. A mobiltelefon-fertőzés és a vishing technikák kombinálásával ezek a csalók mikrohiteleket kérhetnek az áldozatok nevére, miközben meggyőzik őket a gyanús tevékenységekről, és a hívásokat saját központjukba irányítják át.

Az ilyen típusú támadások súlyos károkat okozhatnak, és jelentős kölcsönökkel terhelhetik az áldozatokat. A pénzintézetek gyakran alábecsülik ezeknek az invázióknak a súlyát, és nem vizsgálják ki alaposan az esetleges csalási eseteket.

Bár ez a fenyegetés jelenleg Dél-Koreára korlátozódik, a kutatók felhívják a figyelmet arra, hogy nincsenek technikai akadályok, amelyek megakadályoznák ezeket a támadókat abban, hogy tevékenységüket más régiókra, köztük az Európai Unióra is kiterjesszék.