'Letscall'-malware tilt vishing naar een nieuw niveau

Onderzoekers hebben onlangs het publiek gewaarschuwd voor een nieuw en geavanceerd type voice phishing (vishing) zwendel genaamd "Letscall". Deze specifieke methode van misleiding wordt momenteel gebruikt om individuen in Zuid-Korea te targeten.

De criminelen die het "Letscall"-plan orkestreren, volgen een reeks stappen om hun slachtoffers te misleiden zodat ze schadelijke applicaties downloaden van een nagemaakte Google Play Store-website.

Zodra de schadelijke software is geïnstalleerd, leidt het inkomende oproepen om naar een callcenter dat wordt gecontroleerd door de criminelen. Getrainde personen die zich voordoen als bankmedewerkers manipuleren vervolgens nietsvermoedende slachtoffers om gevoelige informatie vrij te geven.

Om de vlotte stroom van spraakverkeer te vergemakkelijken, maakt "Letscall" gebruik van geavanceerde technologieën zoals voice over IP (VOIP) en WebRTC. Het maakt ook gebruik van geavanceerde protocollen zoals Session Traversal Utilities for NAT (STUN) en Traversal Using Relays around NAT (TURN), inclusief Google STUN-servers, om telefoon- of videogesprekken van hoge kwaliteit te garanderen terwijl NAT- en firewallbeperkingen worden omzeild.

De "Letscall"-groep bestaat uit Android-ontwikkelaars, ontwerpers, frontend- en backend-ontwikkelaars en call-operators die gespecialiseerd zijn in op spraak gebaseerde social engineering-aanvallen.

Letscall-bedrijfsmodus

De malware werkt in drie verschillende stadia. Aanvankelijk bereidt een downloader-app het apparaat van het slachtoffer voor, wat de weg vrijmaakt voor de installatie van krachtige spyware. Deze spyware activeert vervolgens de laatste fase, waardoor inkomende oproepen kunnen worden omgeleid naar het callcenter van de aanvaller.

Volgens een rapport van het Nederlandse mobiele beveiligingsbedrijf ThreatFabric is de derde fase uitgerust met een eigen set commando's, waaronder Websocket-commando's. Sommige van deze opdrachten zijn gericht op het manipuleren van het adresboek door contacten te maken of te verwijderen, terwijl andere betrekking hebben op het maken, wijzigen of verwijderen van filters die bepalen welke oproepen moeten worden onderschept of genegeerd.

Wat "Letscall" onderscheidt, is het gebruik van geavanceerde ontwijkingstechnieken. De malware bevat Tencent Legu en Bangcle (SecShell) verduistering tijdens de eerste download. In latere stadia maakt het gebruik van complexe naamgevingsstructuren in ZIP-bestandsmappen en corrumpeert het opzettelijk het manifest om beveiligingssystemen te verwarren en te omzeilen.

De criminelen hebben geautomatiseerde systemen ontwikkeld die slachtoffers bellen en vooraf opgenomen berichten afspelen om hen verder te misleiden. Door mobiele-telefooninfecties te combineren met vishing-technieken, kunnen deze fraudeurs microleningen aanvragen onder de namen van de slachtoffers, terwijl ze hen overtuigen van verdachte activiteiten en oproepen doorsturen naar hun eigen centra.

De schade van dit type aanval kan ernstig zijn, waardoor slachtoffers worden opgezadeld met aanzienlijke leningen die moeten worden terugbetaald. Financiële instellingen onderschatten vaak de ernst van deze invasies en onderzoeken mogelijke fraudegevallen niet grondig.

Hoewel deze dreiging momenteel beperkt is tot Zuid-Korea, waarschuwen onderzoekers dat er geen technische belemmeringen zijn die deze aanvallers ervan weerhouden hun operaties uit te breiden naar andere regio's, waaronder de Europese Unie.