Złośliwe oprogramowanie „Letscall” przenosi Vishing na nowy poziom

Badacze niedawno zaalarmowali opinię publiczną o nowym i zaawansowanym typie oszustwa polegającego na wyłudzaniu informacji głosowych (vishing) o nazwie „Letscall”. Ta szczególna metoda oszustwa jest obecnie wykorzystywana do atakowania osób w Korei Południowej.

Przestępcy organizujący schemat „Letscall” wykonują szereg kroków, aby nakłonić swoje ofiary do pobrania szkodliwych aplikacji z fałszywej witryny Sklepu Google Play.

Po zainstalowaniu złośliwego oprogramowania przekierowuje ono połączenia przychodzące do call center kontrolowanego przez przestępców. Przeszkolone osoby udające pracowników banku następnie manipulują niczego niepodejrzewającymi ofiarami w celu ujawnienia poufnych informacji.

Aby ułatwić płynny przepływ ruchu głosowego, „Letscall” wykorzystuje najnowocześniejsze technologie, takie jak Voice over IP (VOIP) i WebRTC. Wykorzystuje również zaawansowane protokoły, takie jak Session Traversal Utilities for NAT (STUN) i Traversal using Relays around NAT (TURN), w tym serwery Google STUN, w celu zapewnienia wysokiej jakości połączeń telefonicznych lub wideo z pominięciem ograniczeń NAT i firewalla.

Grupa „Letscall” obejmuje programistów Androida, projektantów, programistów frontendu i backendu oraz operatorów telefonicznych specjalizujących się w głosowych atakach socjotechnicznych.

Tryb działania Letscall

Złośliwe oprogramowanie działa w trzech odrębnych fazach. Początkowo aplikacja do pobierania przygotowuje urządzenie ofiary, torując drogę do instalacji potężnego oprogramowania szpiegującego. To oprogramowanie szpiegujące uruchamia następnie ostatni etap, umożliwiając przekierowanie połączeń przychodzących do call center atakujących.

Według raportu holenderskiej firmy zajmującej się bezpieczeństwem mobilnym, ThreatFabric, trzeci etap jest wyposażony we własny zestaw poleceń, w tym polecenia gniazda sieciowego. Niektóre z tych poleceń koncentrują się na manipulowaniu książką adresową poprzez tworzenie lub usuwanie kontaktów, podczas gdy inne obejmują tworzenie, modyfikowanie lub usuwanie filtrów określających, które połączenia powinny być przechwytywane lub ignorowane.

Tym, co wyróżnia „Letscall”, jest wykorzystanie zaawansowanych technik unikania. Złośliwe oprogramowanie zawiera zaciemnianie Tencent Legu i Bangcle (SecShell) podczas pierwszego pobierania. Na późniejszych etapach wykorzystuje złożone struktury nazewnictwa w katalogach plików ZIP i celowo uszkadza manifest, aby zmylić i ominąć systemy bezpieczeństwa.

Przestępcy opracowali zautomatyzowane systemy, które dzwonią do ofiar i odtwarzają nagrane wcześniej wiadomości, aby jeszcze bardziej je oszukać. Łącząc infekcje telefonów komórkowych z technikami vishing, oszuści ci mogą żądać mikropożyczek pod nazwiskiem ofiar, jednocześnie przekonując je o podejrzanych działaniach i przekierowując połączenia do własnych centrów.

Szkody spowodowane tego typu atakami mogą być poważne, obciążając ofiary znacznymi pożyczkami do spłaty. Instytucje finansowe często nie doceniają wagi tych inwazji i nie badają dokładnie potencjalnych przypadków oszustw.

Chociaż zagrożenie to ogranicza się obecnie do Korei Południowej, badacze ostrzegają, że nie istnieją żadne bariery techniczne uniemożliwiające atakującym rozszerzenie działalności na inne regiony, w tym Unię Europejską.