I ricercatori di ThreatFabric hanno emesso un avviso su una nuova forma avanzata di vishing (phishing telefonico) chiamata Letscall.
I criminali impiegherebbero un attacco con diverse fasi per indurre le vittime a scaricare app dannose da un falso sito Web che riproduce il Google Play Store.
La catena d’attacco
Una volta installato, il software malevolo reindirizzerebbe le chiamate in arrivo a un call center presidiato dai truffatori che impersonando impiegati di banca tentano di carpire informazioni sensibili dalle vittime inconsapevoli.
In primis, un’app downloader otterrebbe le autorizzazioni necessarie per installare il malware di seconda fase, che verrà scaricato dal server C2.
Dopo uno spyware attiverebbe la fase finale consentendo il reindirizzamento delle chiamate in entrata al falso call center esfiltrando i dati e registrando il dispositivo infetto nella rete VOIP P2P utilizzata per comunicare tramite chiamate video o vocali.
Infine un’applicazione complementare per il malware di seconda fase estenderebbe le funzionalità di chiamata telefonica.
Tecniche di instradamento telefonico e di evasione
Per facilitare l’instradamento del traffico vocale, verrebbero utilizzate tecnologie come il Voice over IP (VOIP) e il WebRTC. Inoltre per garantire telefonate o videochiamate di alta qualità e aggirare le restrizioni NAT e firewall i criminali dietro Letscall impiegherebbero i protocolli STUN (Session Traversal Utilities for NAT) e TURN (Traversal Using Relays around NAT), compresi i server Google STUN. Infine per confondere e aggirare i sistemi di sicurezza, utilizzerebbero l’offuscamento Tencent Legu e Bangcle (SecShell), lunghe denominazioni nelle directory dei file ZIP e tecniche di danneggiamento del manifest APK.
Conclusioni
Sebbene questa minaccia interessi attualmente gli utenti della Corea del Sud, i ricercatori non escludono che possa coinvolgere ben presto altri paesi.
L’analisi dei server C2 avrebbe inoltre rivelato l’esistenza di un funzionale pannello di amministrazione online (frontend/backend).
“Prevediamo che un tale kit di strumenti potrebbe essere promosso come MaaS (Malware as a Service) sul Darkweb“, concludono gli esperti.
Questa nuova forma di attacco vishing sottolinea senza dubbio la costante evoluzione del cybercrime.