Letscall Mobile Malware
Cybersicherheitsforscher haben eine Warnung vor dem Aufkommen einer hochentwickelten Form des Voice-Phishing (Vishing) namens „Letscall“ herausgegeben. Diese spezielle Technik wird derzeit ausgenutzt, um Personen mit Wohnsitz in Südkorea anzugreifen.
Die Täter hinter dem Letscall-Programm nutzen eine Reihe komplizierter Schritte, um ihre Opfer dazu zu verleiten, schädliche Anwendungen von einer betrügerischen Website herunterzuladen, die den Google Play Store imitiert.
Sobald die Bedrohungssoftware das Gerät des Opfers erfolgreich infiltriert, leitet sie eingehende Anrufe an ein Callcenter um, das vollständig unter der Kontrolle der Kriminellen steht. Um die Opfer noch weiter zu täuschen, geben sich geschulte Mitarbeiter im Callcenter als Bankangestellte aus und gewinnen so deren Vertrauen. Durch diese betrügerischen Interaktionen geben ahnungslose Personen unwissentlich sensible und vertrauliche Informationen an die Cyberkriminellen weiter.
Inhaltsverzeichnis
Die Letscall-Malware nutzt mehrere Technologien, um den Sprachverkehr umzuleiten
Um die Übertragung des Sprachverkehrs zu optimieren, integriert Letscall fortschrittliche Technologien wie Voice over IP (VoIP) und WebRTC. Darüber hinaus nutzt es die Protokolle Session Traversal Utilities for NAT (STUN) und Traversal Using Relays around NAT (TURN), einschließlich der Nutzung von Google STUN-Servern. Diese Technologien ermöglichen es der Bedrohung, qualitativ hochwertige Telefon- und Videoanrufe zu ermöglichen und gleichzeitig alle durch Network Address Translation (NAT) und Firewalls auferlegten Einschränkungen zu umgehen.
Es wird vermutet, dass die Letscall-Gruppe aus einem Team qualifizierter Fachleute mit Fachkenntnissen in verschiedenen Bereichen besteht. Dazu gehören Android-Entwickler, Designer, Frontend- und Backend-Entwickler sowie Anrufbetreiber, die auf Voice-Social-Engineering-Angriffe spezialisiert sind. Ihre kombinierten Fähigkeiten und Kenntnisse ermöglichen es ihnen, die anspruchsvollen Operationen der Letscall-Kampagne zu erstellen, zu verwalten und auszuführen.
Eine komplexe Operationskette und erhebliche Umgehungsmöglichkeiten wurden bei der Letscall-Malware beobachtet
Die Letscall-Malware funktioniert durch einen klar definierten dreistufigen Prozess. Zunächst wird eine Downloader-App auf dem Gerät des Opfers bereitgestellt, die als vorbereitender Schritt für die Installation potenter Spyware dient. Anschließend leitet die Spyware die letzte Phase ein und ermöglicht die Umleitung eingehender Anrufe an das von den Angreifern kontrollierte Callcenter.
In der dritten Phase führt die Malware einen bestimmten Befehlssatz aus, einschließlich solcher, die über Web-Socket-Befehle ausgeführt werden. Bei einigen dieser Befehle geht es um die Manipulation des Adressbuchs des Geräts, beispielsweise um das Erstellen und Löschen von Kontakten. Andere beinhalten die Erstellung, Änderung und Entfernung von Filtern, die bestimmen, welche Anrufe abgefangen und welche ignoriert werden sollen.
Was Letscall von anderen ähnlichen Malware-Bedrohungen unterscheidet, ist der Einsatz fortschrittlicher Umgehungstechniken. Die Malware nutzt in der ersten Downloadphase Verschleierungsmethoden von Tencent Legu und Bangcle (SecShell). In späteren Phasen verwendet es komplizierte Namensstrukturen in ZIP-Dateiverzeichnissen und beschädigt absichtlich die Manifestdatei, um ihre Absichten zu verschleiern, Sicherheitssysteme zu verwirren und so der Entdeckung zu entgehen.
Die Kriminellen hinter Letscall haben außerdem automatisierte Systeme entwickelt, die ihre Opfer anrufen und zuvor aufgezeichnete Nachrichten abspielen, um sie noch weiter zu täuschen. Durch die Kombination der Infektion von Mobiltelefonen mit Vishing-Techniken können diese Betrüger im Namen der Opfer Mikrokredite beantragen und sie gleichzeitig vor angeblich verdächtigen Aktivitäten warnen. Darüber hinaus leiten sie Anrufe an ihre Callcenter weiter, was die Illusion der Legitimität verstärkt und die Erfolgsquote ihrer betrügerischen Aktivitäten erhöht.
Opfer der Letscall-Malware könnten erhebliche finanzielle Verluste erleiden
Die Auswirkungen solcher Angriffe können äußerst schwerwiegend sein und die Opfer mit erheblichen Krediten belasten, die sie zurückzahlen müssen. Leider unterschätzen Finanzinstitute oft die Schwere dieser Angriffe und versäumen es, potenzielle Betrugsfälle gründlich zu untersuchen.
Während diese besondere Bedrohung derzeit auf Südkorea beschränkt ist, warnen Forscher, dass es keine technischen Hindernisse gibt, die diese Angreifer daran hindern, ihre Reichweite auf andere Regionen, einschließlich der Europäischen Union, auszudehnen. Dieses Expansionspotenzial unterstreicht die Anpassungsfähigkeit und Agilität von Cyberkriminellen bei der Nutzung von Technologie für böswillige Zwecke.
Diese aufkommende Variante von Vishing-Angriffen ist eine deutliche Erinnerung an die sich ständig weiterentwickelnde Natur krimineller Taktiken und ihre Fähigkeit, Technologie für schändliche Zwecke zu nutzen. Die Gruppe, die für die Entwicklung der Letscall-Malware verantwortlich ist, verfügt über ein tiefes Verständnis der Android-Sicherheits- und Sprachrouting-Technologien und stellt ihr umfassendes Wissen in diesen Bereichen unter Beweis.
