Новости Малварь Letscall переадресует звонки жертв в колл-центр хакеров

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.695
RUB
50
Эксперты компании ThreatFabric набор инструментов Letscall, который используется для голосового фишинга в Южной Корее.


Интересной особенностью этих атак является то, что если жертва пытается позвонить в банк, малварь перехватывает ее звонок и перенаправляет в колл-центр злоумышленников.

Следует отметить, что впервые такие атаки на южнокорейских пользователей были и описаны «Лабораторией Касперского» в прошлом году, и тогда эта кампания получила название Fakecalls.
После установки такое вредоносное ПО перенаправляет звонки жертв в колл-центр, находящийся под контролем хакеров. Там специально обученные операторы, выдающие себя за настоящих сотрудников банка, узнают конфиденциальную информацию у ничего не подозревающих жертв.


Схема атак Letscall

По словам специалистов ThreatFabric, в хак-группу, стоящую за Letscall, входят Android-разработчики, дизайнеры, разработчики интерфейсов и бэкендов, а также операторы колл-центрв, специализирующиеся на голосовых атаках и социальной инженерии.

Эксперты описывают Letscall как многофункциональное шпионское ПО или RAT (Remote Access Trojan, «Троян удаленного доступа»), которое создавалось с большим вниманием к видео- и аудиосвязи с жертвой, а также ориентировано на перехват сообщений и телефонных звонков. Отслеживание местоположения так же является важной целью этих злоумышленников.

Все начинается с того, что создатели Letscall используют многоэтапную атаку, обманом вынуждая своих жертв загрузить вредоносные приложения с сайта, имитирующего официальный магазин Google Play Store. Судя по всему, для этого применяется «черное» SEO и социальная инженерия с использованием спама.


Фальшивый Google Play Store

В итоге заражение осуществляется в несколько этапов: сначала приложение-загрузчик, скачанное из фиктивного Google Play Store, подготавливает устройство жертвы для установки мощного шпионского ПО: получает необходимые разрешения, открывает фишинговую страницу и устанавливает малварь второго этапа, полученную с управляющего сервера.

На упомянутой фишиновой странице, которая может имитировать, например, сайты известных агрегаторов кредитных предложений, жертву убеждают предоставить конфиденциальную информацию: данные документа удостоверяющего личность, номер телефона, домашний адрес, размер заработной платы, название компании-работодателя и так далее. Эти данные будут автоматически переданы злоумышленникам.

В итоге хакеры либо используют полученные данные для заполнения аналогичной формы на настоящем сайте (для подачи заявки на кредит), либо фишинговая страница вообще действует как прокси между жертвой и страницей настоящего кредитного агрегатора.



Второй этап атаки — установка шпионского приложения, которое помогает злоумышленникам воровать данные, а также регистрирует зараженное устройство в P2P-сети VoIP, используемой для связи с жертвой с помощью видео- или голосовых вызовов. Кроме того, это приложение подготавливает запуск третьего этапа атаки.

На третьем этапе на устройство пострадавшего устанавливается еще одно приложение, которое обладает функциональностью для осуществления телефонных звонков. Злоумышленники используют его для перенаправления звонков с устройства жертвы в колл-центр самих хакеров.

Более того, среди ассетов третьего APK есть заранее заготовленные голосовые сообщения в формате MP3, которые будут воспроизводиться жертве, если та попытается позвонить в банк.



«Здравствуйте, это Hana Bank. Нажмите “1” для перевода в Hana Bank, “2” для перевода в другой банк и “3”, чтобы узнать детали транзакции. Для подключения кредитной карты и других услуг нажмите “6”», — гласит одно из таких сообщений.

Исследователи отмечают, что для работы и соединения жертв с операторами колл-центра Letscall применяет , технологию маршрутизации VoIP-трафика. Кроме того, чтобы качество голосовых и видеозвонков было на высоте, а также для обхода NAT и брандмауэров, хакеры полагаются на методики , включая серверы Google STUN.

«Третий этап атаки использует собственный набор команд, который включает команды веб-сокетов. Некоторые из этих команд отвечают за манипуляции с адресной книгой, например, к создание и удаление контактов. Другие команды относятся к созданию, изменению и удалению фильтров, которые определяют, какие вызовы следует перехватывать, а какие игнорировать», — пишут исследователи.

Кроме того, по данным аналитиков, некоторые версии загрузчика были защищены с помощью обфускации Tencent Legu или с помощью Bangcle (SecShell). На втором и третьем этапах атаки использовались длинные имена в дереве каталогов файлов ZIP и различные методы искажения манифеста.

«Голосовой фишинг эволюционировал, стал более технологичным и изощренными, поскольку теперь мошенники используют современные технологии маршрутизации голосового трафика и системы, которые автоматически звонят жертве (так называемые автоинформаторы, которые обычно применяются для автоматизации рекламы через телефонные звонки), и проигрывают записанные заранее сообщения-приманки. Если жертва попадается на удочку [злоумышленников], на ее звонок ответит оператор колл-центра и велит действовать так, как хочет мошенник. Злоумышленник может обманом вынудить жертву пойти к ближайшему банкомату, чтобы снять наличные, или подтолкнуть к раскрытию личной информации, включая данные банковского счета, данные банковской карты или учетные данные», — предупреждают эксперты.

 
Эксперты компании ThreatFabric провели исследование набора инструментов Letscall, используемого для голосового фишинга в Южной Корее. Основной особенностью этих атак является перехват звонков жертв и их перенаправление в колл-центр злоумышленников.

По словам экспертов, за Letscall стоит хакерская группа, в которую входят разработчики Android-приложений, дизайнеры, разработчики интерфейсов и бэкендов, а также операторы колл-центров, специализирующиеся на голосовых атаках и социальной инженерии.

Letscall является многофункциональным шпионским ПО или Remote Access Trojan (RAT), которое фокусируется на видео- и аудиосвязи с жертвой, перехвате сообщений и телефонных звонков, а также отслеживании местоположения.

Атаки начинаются с обмана жертвы, заставляя её загрузить вредоносные приложения с фейкового Google Play Store. Затем следует установка шпионского ПО и перенаправление звонков жертв в колл-центр злоумышленников.

В колл-центре специально обученные операторы выдают себя за сотрудников банка и получают конфиденциальную информацию у ничего не подозревающих жертв.

Эксперты также отмечают, что для обеспечения качества голосовых и видеозвонков и обхода NAT и брандмауэров хакеры используют технологию маршрутизации VoIP-трафика WEBRTC и методики STUN/TURN, включая серверы Google STUN.

Все это является новым развитием голосового фишинга, поскольку злоумышленники используют современные технологии и автоматизированные системы для обмана жертв и получения конфиденциальной информации.

Атаки Letscall представляют серьезную угрозу для пользователей, поскольку мошенники могут вымогать деньги, получать доступ к банковским и личным данным жертв, а также манипулировать ими.

Источник
 
Сверху Снизу