Il malware "Letscall" porta Vishing a un nuovo livello

I ricercatori hanno recentemente avvisato il pubblico di un nuovo e avanzato tipo di truffa di phishing vocale (vishing) chiamato "Letscall". Questo particolare metodo di inganno è attualmente impiegato per prendere di mira individui in Corea del Sud.

I criminali che orchestrano lo schema "Letscall" seguono una serie di passaggi per indurre le loro vittime a scaricare applicazioni dannose da un sito Web contraffatto di Google Play Store.

Una volta installato, il software dannoso reindirizza le chiamate in arrivo a un call center controllato dai criminali. Individui addestrati che si atteggiano a impiegati di banca manipolano quindi vittime ignare affinché divulghino informazioni sensibili.

Per facilitare il flusso regolare del traffico vocale, "Letscall" sfrutta tecnologie all'avanguardia come Voice over IP (VOIP) e WebRTC. Utilizza inoltre protocolli avanzati come Session Traversal Utilities for NAT (STUN) e Traversal Using Relays around NAT (TURN), inclusi i server Google STUN, per garantire telefonate o videochiamate di alta qualità aggirando le restrizioni del NAT e del firewall.

Il gruppo "Letscall" comprende sviluppatori Android, designer, sviluppatori frontend e backend e operatori di chiamata specializzati in attacchi di ingegneria sociale basati sulla voce.

Letscall Modalità di funzionamento

Il malware opera in tre fasi distinte. Inizialmente, un'app downloader prepara il dispositivo della vittima, aprendo la strada all'installazione di potenti spyware. Questo spyware attiva quindi la fase finale, consentendo il reindirizzamento delle chiamate in entrata al call center degli aggressori.

Secondo un rapporto della società olandese di sicurezza mobile ThreatFabric, la terza fase è dotata di un proprio set di comandi, inclusi i comandi Web socket. Alcuni di questi comandi si concentrano sulla manipolazione della rubrica creando o rimuovendo contatti, mentre altri implicano la creazione, la modifica o la rimozione di filtri che determinano quali chiamate devono essere intercettate o ignorate.

Ciò che distingue "Letscall" è l'utilizzo di tecniche di evasione avanzate. Il malware incorpora l'offuscamento Tencent Legu e Bangcle (SecShell) durante il download iniziale. Nelle fasi successive, utilizza complesse strutture di denominazione nelle directory dei file ZIP e corrompe intenzionalmente il manifest per confondere e aggirare i sistemi di sicurezza.

I criminali hanno sviluppato sistemi automatizzati che effettuano chiamate alle vittime e riproducono messaggi preregistrati per ingannarle ulteriormente. Combinando infezioni da telefoni cellulari con tecniche di vishing, questi truffatori possono richiedere microprestiti a nome delle vittime convincendole di attività sospette e reindirizzando le chiamate ai propri centri.

Il danno derivante da questo tipo di attacco può essere grave, gravando le vittime con ingenti prestiti da rimborsare. Le istituzioni finanziarie spesso sottovalutano la gravità di queste invasioni e non riescono a indagare a fondo su potenziali casi di frode.

Sebbene questa minaccia sia attualmente limitata alla Corea del Sud, i ricercatori avvertono che non ci sono barriere tecniche che impediscono a questi aggressori di espandere le loro operazioni in altre regioni, inclusa l'Unione Europea.