Вредонос Letscall перенаправляет звонки жертв в колл-центр хакеров

Эксперты ThreatFabric изучал набор инструментов Letscall, который используется для голосового фишинга в Южной Корее. Интересной особенностью этих атак является то, что если жертва пытается позвонить в банк, вредоносное ПО перехватывает ее звонок и перенаправляет злоумышленников в колл-центр.

Стоит отметить, что впервые подобные атаки на южнокорейских пользователей были обнаружены и описаны «Лабораторией Касперского» в прошлом году, и тогда эта кампания называлась Fakecalls.

После установки это вредоносное ПО перенаправляет звонки жертв в колл-центр, контролируемый хакерами. Здесь специально обученные операторы, выдавая себя за настоящих сотрудников банка, узнают конфиденциальную информацию у ничего не подозревающих жертв.

По данным ThreatFabric, хакерская группа, стоящая за Letscall, включает в себя разработчиков Android, дизайнеров, разработчиков интерфейсов и бэкенда, а также операторов колл-центров, специализирующихся на голосовых атаках и социальной инженерии.

Эксперты характеризуют Letscall как многофункциональную программу-шпион или RAT (Remote Access Trojan, «троянец удаленного доступа»), которая создавалась с большим вниманием к видео- и аудиосвязи с жертвой, а также ориентирована на перехват сообщений и телефонных звонков. Отслеживание местоположения также является важной целью для этих злоумышленников.

Все началось с того, что создатели Letscall использовали многоэтапную атаку, чтобы заставить своих жертв загружать вредоносные приложения с веб-сайта, имитирующего официальный магазин Google Play. Судя по всему, для этого используется черное SEO и социальная инженерия с использованием спама.

В результате заражение осуществляется в несколько этапов: сначала приложение для загрузки, загруженное из фиктивного магазина Google Play, подготавливает устройство жертвы к установке мощного шпионского ПО: получает необходимые разрешения, открывает страницу фишинга и установить устройство. вредоносное ПО второй стадии, полученное с сервера управления.

На указанной фишинговой странице, которая может имитировать, например, сайты известных агрегаторов кредитных предложений, жертву уговаривают предоставить конфиденциальную информацию: данные документа, удостоверяющего личность, номер телефона, домашний адрес, зарплату, название компании-работодателя и т. д. Эти данные будут автоматически переданы злоумышленникам.

В результате хакеры либо используют полученные данные для заполнения аналогичной формы на реальном сайте (для запроса займа), либо фишинговая страница вообще выступает прокси между жертвой и страницей данного агрегатора займа.

Второй этап атаки — установка шпионского приложения, которое помогает злоумышленникам похитить данные, а также зарегистрировать зараженное устройство в сети P2P VoIP, используемой для связи с жертвой посредством видео или голоса. Кроме того, это приложение подготавливает запуск третьего этапа атаки.

На третьем этапе на устройство жертвы устанавливается другое приложение, имеющее функционал для совершения звонков. Злоумышленники используют его для перенаправления звонков с устройства жертвы в собственный колл-центр хакеров.

Также среди активов третьего APK есть заранее подготовленные голосовые сообщения в формате MP3, которые будут воспроизводиться жертве, если она попытается позвонить в банк.

Здравствуйте, это Хана Банк. Нажмите «1» для перевода в Hana Bank, «2» для перевода в другой банк и «3» для просмотра сведений о транзакции. Чтобы активировать кредитную карту и другие услуги, нажмите «6», гласит одно из этих сообщений.

Исследователи отмечают, что для работы и связи жертв с операторами колл-центра Letscall использует ВЕБРТК, Технология маршрутизации трафика VoIP. Помимо совершения высококачественных голосовых и видеозвонков, а также обхода NAT и брандмауэров, хакеры полагаются на приемы Оглушение/поворотвключая серверы Google STUN.

«Третий этап атаки использует собственный набор команд, который включает команды веб-сокетов. Некоторые из этих команд отвечают за манипуляции с адресной книгой, такие как создание и удаление контактов. Другие команды связаны с созданием, изменением и удалением адресной книги. фильтры, которые определяют, какие звонки следует перехватывать, а какие игнорировать», — пишут исследователи.

Также, по словам аналитика, некоторые версии загрузчика были защищены с помощью обфускации Tencent Legu или с помощью Bangcle (SecShell). На втором и третьем этапах атаки использовались длинные имена в дереве каталогов ZIP-файлов и несколько методов манифеста.

«Голосовой фишинг эволюционировал, становясь более технологичным и изощренным, так как сейчас мошенники используют современные технологии голосового трафика и системы автоматического вызова жертвы (так называемые автоинформаторы, которые обычно используются для автоматизации рекламы через телефонные звонки). и воспроизводить заранее записанные сообщения-приманки. Если жертва попадется на приманку [злоумышленников], оператор колл-центра ответит на их звонок и скажет действовать так, как хочет мошенник. Злоумышленник может обманом заставить жертву подойти к ближайшему банкомату, чтобы снять деньги, или подтолкнуть ее к раскрытию личной информации, включая данные банковского счета, данные банковской карты или учетные данные», — предупреждают эксперты.