O malware 'Letscall' leva o vishing a um novo nível

Pesquisadores recentemente alertaram o público sobre um novo e avançado tipo de golpe de phishing por voz (vishing) chamado "Letscall". Este método específico de engano está sendo empregado atualmente para atingir indivíduos na Coreia do Sul.

Os criminosos que orquestram o esquema "Letscall" seguem uma série de etapas para induzir suas vítimas a baixar aplicativos nocivos de um site falsificado da Google Play Store.

Depois que o software malicioso é instalado, ele redireciona as chamadas recebidas para um call center controlado pelos criminosos. Indivíduos treinados se passando por funcionários do banco então manipulam vítimas inocentes para divulgar informações confidenciais.

Para facilitar o fluxo suave do tráfego de voz, "Letscall" utiliza tecnologias de ponta, como voz sobre IP (VOIP) e WebRTC. Ele também utiliza protocolos avançados, como Session Traversal Utilities for NAT (STUN) e Traversal Using Relays around NAT (TURN), incluindo servidores Google STUN, para garantir chamadas telefônicas ou de vídeo de alta qualidade, contornando as restrições de NAT e firewall.

O grupo "Letscall" inclui desenvolvedores Android, designers, desenvolvedores front-end e back-end e operadores de chamadas especializados em ataques de engenharia social baseados em voz.

Modo de operação Letscall

O malware opera em três estágios distintos. Inicialmente, um aplicativo de download prepara o dispositivo da vítima, abrindo caminho para a instalação de um poderoso spyware. Esse spyware aciona o estágio final, permitindo o reencaminhamento das chamadas recebidas para a central de atendimento dos invasores.

De acordo com um relatório da empresa de segurança móvel holandesa ThreatFabric, o terceiro estágio está equipado com seu próprio conjunto de comandos, incluindo comandos de soquete da Web. Alguns desses comandos se concentram na manipulação do catálogo de endereços criando ou removendo contatos, enquanto outros envolvem criar, modificar ou remover filtros que determinam quais chamadas devem ser interceptadas ou ignoradas.

O que diferencia "Letscall" é a utilização de técnicas avançadas de evasão. O malware incorpora ofuscação Tencent Legu e Bangcle (SecShell) durante o download inicial. Em estágios posteriores, ele emprega estruturas de nomenclatura complexas em diretórios de arquivos ZIP e corrompe intencionalmente o manifesto para confundir e ignorar os sistemas de segurança.

Os criminosos desenvolveram sistemas automatizados que fazem ligações para as vítimas e reproduzem mensagens pré-gravadas para enganá-las ainda mais. Ao combinar infecções de telefones celulares com técnicas de vishing, esses fraudadores podem solicitar microempréstimos em nome das vítimas, convencendo-as de atividades suspeitas e redirecionando as chamadas para seus próprios centros.

Os danos desse tipo de ataque podem ser graves, sobrecarregando as vítimas com empréstimos substanciais a pagar. Muitas vezes, as instituições financeiras subestimam a gravidade dessas invasões e não investigam minuciosamente os possíveis casos de fraude.

Embora essa ameaça esteja atualmente limitada à Coreia do Sul, os pesquisadores alertam que não há barreiras técnicas que impeçam esses invasores de expandir suas operações para outras regiões, incluindo a União Europeia.