“Letscall”恶意软件将语音钓鱼提升到新水平

研究人员最近提醒公众注意一种名为“Letscall”的新型高级语音网络钓鱼 (vishing) 骗局。这种特殊的欺骗方法目前正在用于针对韩国的个人。

策划“Letscall”计划的犯罪分子遵循一系列步骤，诱骗受害者从假冒的 Google Play 商店网站下载有害应用程序。

一旦安装了恶意软件，它就会将传入呼叫重新路由到犯罪分子控制的呼叫中心。经过训练的人员冒充银行员工，然后操纵毫无戒心的受害者泄露敏感信息。

为了促进语音流量的顺畅流动，“Letscall”利用了 IP 语音 (VOIP) 和 WebRTC 等尖端技术。它还利用先进的协议，如 NAT 会话遍历实用程序 (STUN) 和使用 NAT 周围中继进行遍历 (TURN)（包括 Google STUN 服务器），以确保高质量的电话或视频通话，同时绕过 NAT 和防火墙限制。

“Letscall”小组由 Android 开发人员、设计人员、前端和后端开发人员以及专门从事基于语音的社交工程攻击的呼叫操作员组成。

Letscall操作模式

该恶意软件分三个不同的阶段运行。最初，下载器应用程序会准备受害者的设备，为安装强大的间谍软件铺平道路。然后，该间谍软件会触发最后阶段，从而将传入呼叫重新路由到攻击者的呼叫中心。

根据荷兰移动安全公司 ThreatFabric 的报告，第三阶段配备了自己的一组命令，包括 Web 套接字命令。其中一些命令侧重于通过创建或删除联系人来操作地址簿，而其他命令则涉及创建、修改或删除确定应拦截或忽略哪些呼叫的过滤器。

“Letscall”的与众不同之处在于它采用了先进的规避技术。该恶意软件在初始下载过程中结合了Tencent Legu和Bangcle (SecShell)混淆。在后期阶段，它在 ZIP 文件目录中采用复杂的命名结构，并故意破坏清单以迷惑和绕过安全系统。

犯罪分子开发了自动化系统，可以打电话给受害者并播放预先录制的信息以进一步欺骗他们。通过将手机感染与网络钓鱼技术相结合，这些欺诈者可以以受害者的名义请求小额贷款，同时说服他们进行可疑活动并将电话重定向到他们自己的中心。

此类攻击造成的损害可能非常严重，给受害者带来巨额贷款负担。金融机构常常低估这些入侵的严重性，并且未能彻底调查潜在的欺诈案件。

虽然这种威胁目前仅限于韩国，但研究人员警告说，不存在任何技术障碍可以阻止这些攻击者将其行动扩展到包括欧盟在内的其他地区。