'Letscall' Malware tar Vishing till en ny nivå

Forskare har nyligen uppmärksammat allmänheten på en ny och avancerad typ av röstnätfiske (vishing)-bedrägeri som kallas "Letscall". Denna speciella metod för bedrägeri används för närvarande för att rikta in sig på individer i Sydkorea.

Brottslingarna som orkestrerar "Letscall"-programmet följer en rad steg för att lura sina offer att ladda ner skadliga program från en förfalskad webbplats i Google Play Butik.

När den skadliga programvaran är installerad omdirigerar den inkommande samtal till ett callcenter som kontrolleras av brottslingarna. Utbildade personer som utger sig för att vara bankanställda manipulerar sedan intet ont anande offer till att avslöja känslig information.

För att underlätta det smidiga flödet av rösttrafik använder "Letscall" banbrytande teknologier som röst över IP (VOIP) och WebRTC. Den använder också avancerade protokoll som Session Traversal Utilities för NAT (STUN) och Traversal Using Relays around NAT (TURN), inklusive Google STUN-servrar, för att säkerställa högkvalitativa telefon- eller videosamtal samtidigt som NAT- och brandväggsbegränsningar förbigår.

"Letscall"-gruppen består av Android-utvecklare, designers, frontend- och backend-utvecklare och samtalsoperatörer som specialiserar sig på röstbaserade sociala ingenjörsattacker.

Letscall Operationsläge

Skadlig programvara fungerar i tre olika stadier. Inledningsvis förbereder en nedladdningsapp offrets enhet, vilket banar väg för installation av kraftfull spionprogram. Detta spionprogram utlöser sedan det sista steget, vilket möjliggör omdirigering av inkommande samtal till angriparnas callcenter.

Enligt en rapport från det holländska mobilsäkerhetsföretaget ThreatFabric är det tredje steget utrustat med sin egen uppsättning kommandon, inklusive kommandon för webbsocket. Vissa av dessa kommandon fokuserar på att manipulera adressboken genom att skapa eller ta bort kontakter, medan andra involverar att skapa, ändra eller ta bort filter som avgör vilka samtal som ska avlyssnas eller ignoreras.

Det som skiljer "Letscall" åt är dess användning av avancerade undanflyktstekniker. Skadlig programvara innehåller Tencent Legu och Bangcle (SecShell) obfuskation under den första nedladdningen. I senare skeden använder den komplexa namnstrukturer i ZIP-filkataloger och korrumperar avsiktligt manifestet för att förvirra och kringgå säkerhetssystem.

Brottslingarna har utvecklat automatiserade system som ringer till offer och spelar upp förinspelade meddelanden för att ytterligare lura dem. Genom att kombinera mobiltelefoninfektioner med vishing-tekniker kan dessa bedragare begära mikrolån under offrens namn samtidigt som de övertygar dem om misstänkta aktiviteter och omdirigerar samtal till sina egna centra.

Skadorna från den här typen av attacker kan vara allvarliga och belasta offren med betydande lån att betala tillbaka. Finansiella institutioner underskattar ofta allvaret i dessa invasioner och misslyckas med att noggrant utreda potentiella bedrägerifall.

Även om detta hot för närvarande är begränsat till Sydkorea, varnar forskare för att det inte finns några tekniska hinder som hindrar dessa angripare från att utöka sin verksamhet till andra regioner, inklusive EU.