'Letscall' Malware tar Vishing til et nytt nivå

Forskere har nylig varslet publikum om en ny og avansert type stemmefisking (vishing)-svindel kalt «Letscall». Denne spesielle metoden for bedrag brukes for tiden for å målrette mot enkeltpersoner i Sør-Korea.

De kriminelle som orkestrerer «Letscall»-ordningen følger en rekke trinn for å lure ofrene sine til å laste ned skadelige applikasjoner fra et forfalsket nettsted i Google Play Store.

Når den skadelige programvaren er installert, omdirigerer den innkommende anrop til et kundesenter kontrollert av kriminelle. Trente personer som utgir seg for å være bankansatte manipulerer deretter intetanende ofre til å røpe sensitiv informasjon.

For å lette jevn flyt av taletrafikk, utnytter "Letscall" banebrytende teknologier som Voice over IP (VOIP) og WebRTC. Den bruker også avanserte protokoller som Session Traversal Utilities for NAT (STUN) og Traversal Using Relays around NAT (TURN), inkludert Google STUN-servere, for å sikre høykvalitets telefon- eller videosamtaler mens den omgår NAT- og brannmurrestriksjoner.

"Letscall"-gruppen består av Android-utviklere, -designere, frontend- og backend-utviklere, og samtaleoperatører som spesialiserer seg på stemmebaserte sosiale ingeniørangrep.

Letscall-driftsmodus

Skadevaren opererer i tre forskjellige stadier. Til å begynne med forbereder en nedlastningsapp offerets enhet, og baner vei for installasjon av kraftig spyware. Denne spionvaren utløser deretter den siste fasen, og muliggjør omdirigering av innkommende anrop til angripernes kundesenter.

I følge en rapport fra det nederlandske mobilsikkerhetsfirmaet ThreatFabric, er det tredje trinnet utstyrt med sitt eget sett med kommandoer, inkludert Web-socket-kommandoer. Noen av disse kommandoene fokuserer på å manipulere adresseboken ved å opprette eller fjerne kontakter, mens andre involverer å opprette, endre eller fjerne filtre som bestemmer hvilke anrop som skal avlyttes eller ignoreres.

Det som skiller "Letscall" er bruken av avanserte unnvikelsesteknikker. Skadevaren inneholder Tencent Legu og Bangcle (SecShell) obfuskering under den første nedlastingen. I senere stadier bruker den komplekse navnestrukturer i ZIP-filkataloger og korrumperer manifestet med vilje for å forvirre og omgå sikkerhetssystemer.

De kriminelle har utviklet automatiserte systemer som ringer til ofre og spiller av forhåndsinnspilte meldinger for å lure dem ytterligere. Ved å kombinere mobiltelefoninfeksjoner med vishing-teknikker, kan disse svindlerne be om mikrolån under ofrenes navn, samtidig som de overbeviser dem om mistenkelige aktiviteter og omdirigerer anrop til sine egne sentre.

Skadene fra denne typen angrep kan være alvorlige, og belaste ofrene med betydelige lån å betale tilbake. Finansinstitusjoner undervurderer ofte alvoret av disse invasjonene og unnlater å undersøke potensielle svindelsaker grundig.

Selv om denne trusselen for øyeblikket er begrenset til Sør-Korea, advarer forskere om at det ikke er noen tekniske barrierer som hindrer disse angriperne i å utvide sine operasjoner til andre regioner, inkludert EU.