Новости Android-вредонос Letscall перенаправляет вызовы операторам-мошенникам

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.044
Репутация
11.695
Реакции
61.865
RUB
50
Специалисты предупреждают о новой кампании голосового фишинга (вишинг), в которой используется многоступенчатая атака, призванная заставить пользователя скачать вредоносную программу для Android.


Кампании дали имя «Letscall». Для обмана потенциальных жертв злоумышленники создали сайт, копирующий Google Play Store. Если пользователь скачает и установит злонамеренное приложение, все входящие звонки будут перенаправляться на подконтрольный преступникам кол-центр. Специально обученные операторы выступают в роли сотрудников банка и пытаются выведать у жертвы всю важную информацию.

Для маршрутизации голосового трафика Letscall использует IP-телефонию и WebRTC. Помимо этого, задействуются протоколы Session Traversal Utilities for NAT (STUN) и Traversal Using Relays around NAT (TURN), включая серверы Google STUN; это помогает мошенникам обеспечить высокое качество аудио- и видеосвязи, а также обойти ограничения NAT и файрволов.

letscall_vishing_news.png


Стоящая за вишинговой кампанией группировка состоит из разработчиков приложений для Android, дизайнеров, бэкенд-девелоперов, а также операторов кол-центра, специализирующихся на социальной инженерии.

Согласно отчету ThreatFabric, злоумышленники управляют вредоносной программой в три стадии:

1. Загрузчик подготавливает устройство жертвы для установки мощного шпионского софта.

2. Шпион запускает следующую ступень заражения, на которой подключаются перенаправление входящих звонков и операторы кол-центра.

3. На третьей стадии атакующие используют собственный набор команд, в том числе по WebSocket. Ряд таких команд относится к взаимодействию со списком контактов: злоумышленник может удалять или создавать контакты.

1vishing.jpg


Letscall также отличает использование современных методов ухода от детектирования. Например, вредонос задействует обфускацию Tencent Legu и Bangcle (SecShell), а ещё создает достаточно сложную структуру имен в директориях ZIP-файла.

2play-store.jpg


 
Специалисты предупреждают о новой кампании голосового фишинга, которая получила название "Letscall". В рамках этой кампании злоумышленники создали сайт, который имитирует Google Play Store, и призывают пользователей скачать вредоносное приложение для Android. Если пользователь соглашается и устанавливает приложение, все его входящие звонки будут перенаправляться на подконтрольный преступникам кол-центр, где обученные операторы выдают себя за сотрудников банка и пытаются получить важную информацию от жертвы.

Для маршрутизации голосового трафика злоумышленники используют IP-телефонию и WebRTC, а также протоколы STUN и TURN, включая серверы Google STUN, чтобы обеспечить хорошее качество связи и обойти ограничения NAT и файрволлов.

Задействованная в этой кампании группировка включает в себя разработчиков приложений для Android, дизайнеров, бэкенд-девелоперов и операторов кол-центра, специализирующихся на социальной инженерии.

Вредоносная программа, используемая в кампании, работает в три стадии. Сначала загрузчик подготавливает устройство жертвы для установки шпионского софта. Затем шпион активирует следующую ступень заражения, где перенаправляются входящие звонки и операторы кол-центра вступают в действие. На третьей стадии злоумышленники используют свои собственные команды, включая использование WebSocket, для взаимодействия со списком контактов, в том числе удаления или создания контактов.

Кроме того, Letscall использует современные методы ухода от детектирования, обфускацию Tencent Legu и Bangcle (SecShell), а также создает сложную структуру имен в директориях ZIP-файла.

Эта новая кампания голосового фишинга представляет серьезную угрозу для пользователей Android и обращает на себя внимание специалистов в области кибербезопасности.
 
Приму к сведению, качать что попало не буду.
 
Сверху Снизу