Търсене
Close this search box.

„Letscall“ използва маршрутизиране на гласовия трафик

Изследователите предупреждават за нова и усъвършенствана форма на гласов фишинг (вишинг), известна като „Letscall“. Понастоящем тази техника е насочена към лица в Южна Корея.

Престъпниците, които стоят зад „Letscall“, използват многоетапна атака, за да заблудят жертвите да изтеглят злонамерени приложения от фалшив уебсайт на Google Play Store.

След като зловредният софтуер бъде инсталиран, той пренасочва входящите повиквания към център за обаждания под контрола на престъпниците. След това обучени оператори, представящи се за банкови служители, извличат чувствителна информация от нищо неподозиращите жертви.

За да улесни маршрутизирането на гласовия трафик, „Letscall“ използва най-съвременни технологии като Voice over IP (VOIP) и WebRTC. Освен това тя използва протоколите Session Traversal Utilities for NAT (STUN) и Traversal Using Relays around NAT (TURN), включително сървърите Google STUN, за да осигури висококачествени телефонни или видео разговори и да заобиколи ограниченията на NAT и защитната стена.

Групата „Letscall“ се състои от разработчици на Android, дизайнери, разработчици на frontend и backend, както и оператори на повиквания, специализирани в атаки за гласово социално инженерство.

Зловредният софтуер действа на три етапа: първо, приложение за изтегляне подготвя устройството на жертвата, като проправя пътя за инсталиране на мощен шпионски софтуер. След това този шпионски софтуер задейства последния етап, който позволява пренасочването на входящите повиквания към кол центъра на нападателите.

„Третият етап има свой собствен набор от команди, който включва и команди за уеб гнезда. Някои от тези команди са свързани с манипулиране на адресната книга, като например създаване и премахване на контакти. Други команди са свързани със създаването, модифицирането и премахването на филтрите, които определят кои повиквания трябва да бъдат прихванати и кои да бъдат игнорирани“, казва в доклада си холандската фирма за мобилна сигурност ThreatFabric.

Това, което отличава „Letscall“, е използването на усъвършенствани техники за избягване на повиквания. Зловредният софтуер включва Tencent Legu и Bangcle (SecShell) обфускация по време на първоначалното изтегляне. На по-късните етапи той използва сложни структури за имена в директориите на ZIP файловете и умишлено поврежда манифеста, за да обърка и заобиколи системите за сигурност.

Престъпниците са разработили системи, които автоматично се обаждат на жертвите и пускат предварително записани съобщения, за да ги заблудят допълнително. Като комбинират заразяването на мобилни телефони с вишинг техники, тези измамници могат да поискат микрокредити от името на жертвите, като същевременно ги уверяват в подозрителни действия и пренасочват обажданията към своите центрове.

Последиците от подобни атаки могат да бъдат значителни, като оставят жертвите обременени със значителни заеми, които трябва да върнат. Финансовите институции често подценяват сериозността на тези посегателства и не разследват потенциалните измами.

Въпреки че понастоящем тази заплаха е ограничена до Южна Корея, изследователите предупреждават, че няма технически бариери, които да възпрепятстват тези нападатели да се разширят в други региони, включително в Европейския съюз.

Тази нова форма на вишинг атака подчертава постоянната еволюция на престъпните тактики и способността им да използват технологиите за злонамерени цели. Групата, отговорна за зловредния софтуер „Letscall“, демонстрира сложни познания за сигурността на Android и технологиите за маршрутизиране на глас.

 

Източник: The Hacker News

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
28 февруари 2024

Предимства на включването на услугата MDR в офе...

Кибератаките се развиват и стават все по-усъвършенствани, а организ...
27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
Бъдете социални
Още по темата
27/02/2024

SubdoMailing - развива се а...

Мащабна кампания за рекламни измами, наречена...
15/02/2024

Увеличават се атаките с QR ...

През последното тримесечие броят на имейл...
14/02/2024

Deepfake демокрация: Технол...

Неотдавнашните събития, включително генерираното от изкуствен...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!