„Letscall“ kenkėjiška programa perkelia Vishing į naują lygį

Tyrėjai neseniai įspėjo visuomenę apie naują ir pažangų balso sukčiavimo (vishing) sukčiavimo tipą, vadinamą „Leisk skambinti“. Šis konkretus apgaulės metodas šiuo metu taikomas asmenims Pietų Korėjoje.

Nusikaltėliai, organizuojantys „Letscall“ schemą, atlieka daugybę veiksmų, kad apgautų savo aukas atsisiųsti kenksmingų programų iš padirbtos „Google Play“ parduotuvės svetainės.

Įdiegusi kenkėjišką programinę įrangą, ji peradresuoja gaunamus skambučius į nusikaltėlių kontroliuojamą skambučių centrą. Apmokyti asmenys, apsimetę banko darbuotojais, manipuliuoja nieko neįtariančiomis aukomis, kad atskleistų neskelbtiną informaciją.

Siekiant palengvinti sklandų balso srauto srautą, „Letscall“ naudoja pažangiausias technologijas, tokias kaip balso per IP (VOIP) ir WebRTC. Jis taip pat naudoja pažangius protokolus, pvz., Session Traversal Utilities for NAT (STUN) ir Traversal Using Relays around NAT (TURN), įskaitant Google STUN serverius, kad užtikrintų aukštos kokybės telefono ar vaizdo skambučius apeinant NAT ir ugniasienės apribojimus.

„Letscall“ grupę sudaro „Android“ kūrėjai, dizaineriai, frontend ir backend kūrėjai bei skambučių operatoriai, besispecializuojantys balsu pagrįstose socialinės inžinerijos atakose.

„Letscall“ veikimo režimas

Kenkėjiška programa veikia trimis skirtingais etapais. Iš pradžių parsisiuntimo programa paruošia aukos įrenginį, atverdama kelią galingų šnipinėjimo programų diegimui. Tada ši šnipinėjimo programa suaktyvina paskutinį etapą, leidžiantį nukreipti gaunamus skambučius į užpuolikų skambučių centrą.

Remiantis Nyderlandų mobiliojo ryšio saugos įmonės ThreatFabric ataskaita, trečiasis etapas aprūpintas savo komandų rinkiniu, įskaitant žiniatinklio lizdų komandas. Kai kurios iš šių komandų skirtos manipuliuoti adresų knygele kuriant arba pašalinant kontaktus, o kitos apima filtrų kūrimą, keitimą arba pašalinimą, kurie nustato, kuriuos skambučius reikia perimti arba ignoruoti.

„Letscall“ išskiria pažangių vengimo metodų panaudojimas. Pradinio atsisiuntimo metu kenkėjiška programa apima „Tencent Legu“ ir „Bangcle“ („SecShell“) užmaskavimą. Vėlesniuose etapuose ZIP failų kataloguose naudojamos sudėtingos pavadinimų struktūros ir tyčia sugadina manifestą, kad suklaidintų ir apeitų apsaugos sistemas.

Nusikaltėliai sukūrė automatizuotas sistemas, kurios skambina aukoms ir leidžia iš anksto įrašytas žinutes, kad jas toliau apgautų. Sujungę mobiliųjų telefonų užkrėtimus su vizitų technikomis, šie sukčiai gali prašyti mikropaskolų nukentėjusiųjų vardais, įtikindami juos įtartina veikla ir nukreipdami skambučius į savo centrus.

Šio tipo išpuolių žala gali būti didelė, o aukoms tenka didelė paskola, kurią reikia grąžinti. Finansų institucijos dažnai neįvertina šių invazijų sunkumo ir nesugeba nuodugniai ištirti galimų sukčiavimo atvejų.

Nors šiuo metu ši grėsmė taikoma tik Pietų Korėjai, mokslininkai perspėja, kad nėra jokių techninių kliūčių, trukdančių šiems užpuolikams plėsti savo veiklą kituose regionuose, įskaitant Europos Sąjungą.