Istraživači su izdali upozorenje o nastanku i naprednom obliku glasovne krađe identiteta (vishing) poznatom kao “letscall“. Ova tehnika trenutno cilja na pojedince u Južnoj Koreji.
Kriminalci koji stoje iza Letscall-a koriste napad u više koraka kako bi prevarili žrtve da preuzmu maliciozne aplikacije sa krivotvorene Google Play Store web stranice.
Jednom kada je maliciozni softver instaliran, on preusmjerava dolazne pozive u pozivni centar pod kontrolom kriminalaca. Obučeni operateri koji se predstavljaju kao zaposleni u banci zatim izvlače osjetljive informacije od nesuđenih žrtava.
Da bi olakšao rutiranje govornog saobraćaja, Letscall koristi najsavremenije tehnologije kao što su glas preko IP-a (VOIP) i WebRTC. Takođe koristi uslužne programe za prelazak sesije za NAT (STUN) i traversal koristeći releje oko NAT (TURN) protokola, uključujući Google STUN servere, kako bi osigurao visokokvalitetne telefonske ili video pozive i zaobilazio ograničenja NAT-a i firewall-a.
Grupu Letscall čine Android programeri, dizajneri, frontend i backend programeri, kao i operateri poziva specijalizovani za glasovne napade društvenog inženjeringa.
Maliciozni softver djeluje u tri faze: prvo, aplikacija za preuzimanje priprema uređaj žrtve, utirući put za instalaciju moćnog špijunskog softvera. Ovaj špijunski softver tada pokreće završnu fazu, koja omogućava preusmjeravanje dolaznih poziva u pozivni centar napadača.
“Treća faza ima svoj skup naredbi, koji takođe uključuje naredbe za web socket. Neke od ovih naredbi se odnose na manipulaciju adresarom, kao što je kreiranje i uklanjanje kontakata. Ostale komande se odnose na kreiranje, modifikovanje i uklanjanje filtera koji određuju koje pozive treba presresti, a koje ignorisati”, rekla je holandska kompanija za mobilnu bezbjednost ThreatFabric u svom izveštaju.
Ono što izdvaja Letscall je njegovo korištenje naprednih tehnika izbjegavanja. Maliciozni softver uključuje Tencent Legu i Bangcle (SecShell) prikrivanje tokom početnog preuzimanja. U kasnijim fazama, koristi složene strukture imenovanja u ZIP direktorijumima datoteka i namjerno kvari manifest da zbuni i zaobiđe sigurnosne sisteme.
Kriminalci su razvili sisteme koji automatski zovu žrtve i puštaju unaprijed snimljene poruke kako bi ih dodatno zavarali. Kombinacijom zaraze mobilnog telefona sa tehnikama vishing-a, ovi prevaranti mogu tražiti mikro-kredite na imena žrtava, dok ih uvjeravaju u sumnjive aktivnosti i preusmjeravaju pozive na svoje centre.
Posljedice ovakvih napada mogu biti značajne, ostavljajući žrtve opterećene značajnim kreditima za otplatu. Finansijske institucije često potcjenjuju ozbiljnost ovih invazija i ne istražuju potencijalne prevare.
Iako je ova pretnja trenutno ograničena na Južnu Koreju, istraživači upozoravaju da ne postoje tehničke barijere koje sprečavaju ove napadače da se prošire na druge regije, uključujući Evropsku uniju.
Ovaj novi oblik vishing napada naglašava stalnu evoluciju kriminalnih taktika i njihovu sposobnost da iskoriste tehnologiju u maliciozne svrhe. Grupa odgovorna za maliciozni Letscall softver demonstrira zamršeno znanje o Android sigurnosti i tehnologijama za usmjeravanje glasa.
Izvor: The Hacker News
