「Letscall」マルウェアがビッシングを新たなレベルに引き上げる

研究者らは最近、「Letscall」と呼ばれる新しい高度なタイプの音声フィッシング（ビッシング）詐欺について一般の人々に警告しました。この特定の欺瞞手法は現在、韓国の個人を標的とするために使用されています。

「Letscall」計画を画策する犯罪者は、一連の手順に従って被害者を騙し、偽の Google Play ストア Web サイトから有害なアプリケーションをダウンロードさせます。

悪意のあるソフトウェアがインストールされると、着信通話は犯罪者が管理するコールセンターに転送されます。銀行員を装った訓練を受けた人物が、無防備な被害者を操作して機密情報を漏洩させます。

音声トラフィックのスムーズな流れを促進するために、「Letscall」は VoIP (Voice over IP) や WebRTC などの最先端のテクノロジーを活用しています。また、Session Traversal Utilities for NAT (STUN) や Google STUN サーバーを含む Traversal using Relays around NAT (TURN) などの高度なプロトコルを利用して、NAT やファイアウォールの制限をバイパスしながら高品質の電話またはビデオ通話を保証します。

「Letscall」グループは、Android 開発者、デザイナー、フロントエンドおよびバックエンド開発者、音声ベースのソーシャル エンジニアリング攻撃を専門とする通話オペレーターで構成されています。

Letscall の動作モード

マルウェアは 3 つの異なる段階で動作します。まず、ダウンローダー アプリが被害者のデバイスを準備し、強力なスパイウェアのインストールへの道を開きます。その後、このスパイウェアは最終段階をトリガーし、着信通話を攻撃者のコールセンターに再ルーティングできるようにします。

オランダのモバイル セキュリティ企業 ThreatFabric のレポートによると、第 3 段階には Web ソケット コマンドを含む独自のコマンド セットが装備されています。これらのコマンドの中には、連絡先を作成または削除することによるアドレス帳の操作に焦点を当てたものもありますが、他のコマンドでは、どの通話を傍受または無視するかを決定するフィルターの作成、変更、または削除が含まれます。

「Letscall」の特徴は、高度な回避技術の利用です。このマルウェアには、最初のダウンロード中に Tencent Legu および Bangcle (SecShell) の難読化が組み込まれています。後の段階では、ZIP ファイル ディレクトリに複雑な名前構造を使用し、マニフェストを意図的に破損してセキュリティ システムを混乱させ、回避します。

犯罪者は、被害者に電話をかけ、事前に録音されたメッセージを再生して被害者をさらに欺く自動システムを開発しました。携帯電話の感染とビッシング手法を組み合わせることで、これらの詐欺師は被害者の名前で少額融資を要求すると同時に、被害者に不審な活動があると信じ込ませ、電話を自分のセンターにリダイレクトすることができます。

この種の攻撃による被害は深刻になる可能性があり、被害者は多額のローンを返済する必要があります。金融機関は、こうした侵入の重大性を過小評価し、潜在的な詐欺事件を徹底的に調査しないことがよくあります。

現在、この脅威は韓国に限定されているが、研究者らは、これらの攻撃者が欧州連合を含む他の地域に活動を拡大することを妨げる技術的な障壁はないと警告している。