Вредоносное ПО Letscall выводит Vishing на новый уровень

Исследователи недавно предупредили общественность о новом и продвинутом типе мошенничества с голосовым фишингом (вишингом) под названием «Letscall». Этот конкретный метод обмана в настоящее время используется для нацеливания на отдельных лиц в Южной Корее.

Преступники, организующие схему «Letscall», предпринимают ряд шагов, чтобы обманом заставить своих жертв загружать вредоносные приложения с поддельного веб-сайта Google Play Store.

После установки вредоносное ПО перенаправляет входящие звонки в колл-центр, контролируемый злоумышленниками. Обученные люди, выдающие себя за банковских служащих, затем манипулируют ничего не подозревающими жертвами, заставляя их разглашать конфиденциальную информацию.

Чтобы обеспечить бесперебойную передачу голосового трафика, Letscall использует передовые технологии, такие как передача голоса по IP (VOIP) и WebRTC. Он также использует расширенные протоколы, такие как утилиты обхода сеанса для NAT (STUN) и обход с использованием ретрансляторов вокруг NAT (TURN), включая серверы Google STUN, для обеспечения высококачественных телефонных или видеовызовов при обходе ограничений NAT и брандмауэра.

В группу Letscall входят разработчики Android, дизайнеры, разработчики интерфейсов и серверных частей, а также операторы связи, специализирующиеся на атаках с использованием голосовой социальной инженерии.

Letscall Режим работы

Вредоносное ПО работает в три этапа. Первоначально приложение-загрузчик подготавливает устройство жертвы, прокладывая путь для установки мощного шпионского ПО. Затем это шпионское ПО запускает заключительный этап, позволяя перенаправлять входящие звонки в колл-центр злоумышленников.

Согласно отчету голландской компании ThreatFabric, занимающейся безопасностью мобильных устройств, третий этап оснащен собственным набором команд, включая команды веб-сокетов. Некоторые из этих команд предназначены для управления адресной книгой путем создания или удаления контактов, в то время как другие включают создание, изменение или удаление фильтров, определяющих, какие вызовы следует перехватывать, а какие игнорировать.

Что отличает Letscall, так это использование передовых методов уклонения. Вредоносная программа включает обфускацию Tencent Legu и Bangcle (SecShell) во время начальной загрузки. На более поздних этапах он использует сложные структуры именования в каталогах ZIP-файлов и намеренно искажает манифест, чтобы запутать и обойти системы безопасности.

Преступники разработали автоматизированные системы, которые звонят жертвам и проигрывают предварительно записанные сообщения, чтобы еще больше их обмануть. Сочетая заражение мобильных телефонов с методами вишинга, эти мошенники могут запрашивать микрозаймы на имена жертв, убеждая их в подозрительной деятельности и перенаправляя звонки в свои центры.

Ущерб от этого типа атак может быть серьезным, обременяя жертв значительными кредитами для погашения. Финансовые учреждения часто недооценивают серьезность этих вторжений и не проводят тщательного расследования потенциальных случаев мошенничества.

Хотя эта угроза в настоящее время ограничена Южной Кореей, исследователи предупреждают, что нет никаких технических барьеров, препятствующих этим злоумышленникам расширить свои операции на другие регионы, включая Европейский Союз.