Эксперты компании ThreatFabric
набор инструментов Letscall, который используется для голосового фишинга в Южной Корее.
Интересной особенностью этих атак является то, что если жертва пытается позвонить в банк, малварь перехватывает ее звонок и перенаправляет в колл-центр злоумышленников.
Следует отметить, что впервые такие атаки на южнокорейских пользователей были и описаны «Лабораторией Касперского» в прошлом году, и тогда эта кампания получила название Fakecalls.
После установки такое вредоносное ПО перенаправляет звонки жертв в колл-центр, находящийся под контролем хакеров. Там специально обученные операторы, выдающие себя за настоящих сотрудников банка, узнают конфиденциальную информацию у ничего не подозревающих жертв.
Схема атак Letscall
По словам специалистов ThreatFabric, в хак-группу, стоящую за Letscall, входят Android-разработчики, дизайнеры, разработчики интерфейсов и бэкендов, а также операторы колл-центрв, специализирующиеся на голосовых атаках и социальной инженерии.
Эксперты описывают Letscall как многофункциональное шпионское ПО или RAT (Remote Access Trojan, «Троян удаленного доступа»), которое создавалось с большим вниманием к видео- и аудиосвязи с жертвой, а также ориентировано на перехват сообщений и телефонных звонков. Отслеживание местоположения так же является важной целью этих злоумышленников.
Все начинается с того, что создатели Letscall используют многоэтапную атаку, обманом вынуждая своих жертв загрузить вредоносные приложения с сайта, имитирующего официальный магазин Google Play Store. Судя по всему, для этого применяется «черное» SEO и социальная инженерия с использованием спама.
Фальшивый Google Play Store
В итоге заражение осуществляется в несколько этапов: сначала приложение-загрузчик, скачанное из фиктивного Google Play Store, подготавливает устройство жертвы для установки мощного шпионского ПО: получает необходимые разрешения, открывает фишинговую страницу и устанавливает малварь второго этапа, полученную с управляющего сервера.
На упомянутой фишиновой странице, которая может имитировать, например, сайты известных агрегаторов кредитных предложений, жертву убеждают предоставить конфиденциальную информацию: данные документа удостоверяющего личность, номер телефона, домашний адрес, размер заработной платы, название компании-работодателя и так далее. Эти данные будут автоматически переданы злоумышленникам.
В итоге хакеры либо используют полученные данные для заполнения аналогичной формы на настоящем сайте (для подачи заявки на кредит), либо фишинговая страница вообще действует как прокси между жертвой и страницей настоящего кредитного агрегатора.
Второй этап атаки — установка шпионского приложения, которое помогает злоумышленникам воровать данные, а также регистрирует зараженное устройство в P2P-сети VoIP, используемой для связи с жертвой с помощью видео- или голосовых вызовов. Кроме того, это приложение подготавливает запуск третьего этапа атаки.
На третьем этапе на устройство пострадавшего устанавливается еще одно приложение, которое обладает функциональностью для осуществления телефонных звонков. Злоумышленники используют его для перенаправления звонков с устройства жертвы в колл-центр самих хакеров.
Более того, среди ассетов третьего APK есть заранее заготовленные голосовые сообщения в формате MP3, которые будут воспроизводиться жертве, если та попытается позвонить в банк.
Исследователи отмечают, что для работы и соединения жертв с операторами колл-центра Letscall применяет , технологию маршрутизации VoIP-трафика. Кроме того, чтобы качество голосовых и видеозвонков было на высоте, а также для обхода NAT и брандмауэров, хакеры полагаются на методики , включая серверы Google STUN.
Кроме того, по данным аналитиков, некоторые версии загрузчика были защищены с помощью обфускации Tencent Legu или с помощью Bangcle (SecShell). На втором и третьем этапах атаки использовались длинные имена в дереве каталогов файлов ZIP и различные методы искажения манифеста.
Интересной особенностью этих атак является то, что если жертва пытается позвонить в банк, малварь перехватывает ее звонок и перенаправляет в колл-центр злоумышленников.
Следует отметить, что впервые такие атаки на южнокорейских пользователей были и описаны «Лабораторией Касперского» в прошлом году, и тогда эта кампания получила название Fakecalls.
После установки такое вредоносное ПО перенаправляет звонки жертв в колл-центр, находящийся под контролем хакеров. Там специально обученные операторы, выдающие себя за настоящих сотрудников банка, узнают конфиденциальную информацию у ничего не подозревающих жертв.
Схема атак Letscall
По словам специалистов ThreatFabric, в хак-группу, стоящую за Letscall, входят Android-разработчики, дизайнеры, разработчики интерфейсов и бэкендов, а также операторы колл-центрв, специализирующиеся на голосовых атаках и социальной инженерии.
Эксперты описывают Letscall как многофункциональное шпионское ПО или RAT (Remote Access Trojan, «Троян удаленного доступа»), которое создавалось с большим вниманием к видео- и аудиосвязи с жертвой, а также ориентировано на перехват сообщений и телефонных звонков. Отслеживание местоположения так же является важной целью этих злоумышленников.
Все начинается с того, что создатели Letscall используют многоэтапную атаку, обманом вынуждая своих жертв загрузить вредоносные приложения с сайта, имитирующего официальный магазин Google Play Store. Судя по всему, для этого применяется «черное» SEO и социальная инженерия с использованием спама.
Фальшивый Google Play Store
В итоге заражение осуществляется в несколько этапов: сначала приложение-загрузчик, скачанное из фиктивного Google Play Store, подготавливает устройство жертвы для установки мощного шпионского ПО: получает необходимые разрешения, открывает фишинговую страницу и устанавливает малварь второго этапа, полученную с управляющего сервера.
На упомянутой фишиновой странице, которая может имитировать, например, сайты известных агрегаторов кредитных предложений, жертву убеждают предоставить конфиденциальную информацию: данные документа удостоверяющего личность, номер телефона, домашний адрес, размер заработной платы, название компании-работодателя и так далее. Эти данные будут автоматически переданы злоумышленникам.
В итоге хакеры либо используют полученные данные для заполнения аналогичной формы на настоящем сайте (для подачи заявки на кредит), либо фишинговая страница вообще действует как прокси между жертвой и страницей настоящего кредитного агрегатора.
Второй этап атаки — установка шпионского приложения, которое помогает злоумышленникам воровать данные, а также регистрирует зараженное устройство в P2P-сети VoIP, используемой для связи с жертвой с помощью видео- или голосовых вызовов. Кроме того, это приложение подготавливает запуск третьего этапа атаки.
На третьем этапе на устройство пострадавшего устанавливается еще одно приложение, которое обладает функциональностью для осуществления телефонных звонков. Злоумышленники используют его для перенаправления звонков с устройства жертвы в колл-центр самих хакеров.
Более того, среди ассетов третьего APK есть заранее заготовленные голосовые сообщения в формате MP3, которые будут воспроизводиться жертве, если та попытается позвонить в банк.
Исследователи отмечают, что для работы и соединения жертв с операторами колл-центра Letscall применяет , технологию маршрутизации VoIP-трафика. Кроме того, чтобы качество голосовых и видеозвонков было на высоте, а также для обхода NAT и брандмауэров, хакеры полагаются на методики , включая серверы Google STUN.
Кроме того, по данным аналитиков, некоторые версии загрузчика были защищены с помощью обфускации Tencent Legu или с помощью Bangcle (SecShell). На втором и третьем этапах атаки использовались длинные имена в дереве каталогов файлов ZIP и различные методы искажения манифеста.
