Эксперты компании ThreatFabric изучили набор инструментов Letscall, который используется для голосового фишинга в Южной Корее. Интересной особенностью этих атак является то, что если жертва пытается позвонить в банк, малварь перехватывает ее звонок и перенаправляет в колл-центр злоумышленников.
Следует отметить, что впервые такие атаки на южнокорейских пользователей были обнаружены и описаны «Лабораторией Касперского» в прошлом году, и тогда эта кампания получила название Fakecalls.
После установки такое вредоносное ПО перенаправляет звонки жертв в колл-центр, находящийся под контролем хакеров. Там специально обученные операторы, выдающие себя за настоящих сотрудников банка, узнают конфиденциальную информацию у ничего не подозревающих жертв.
По словам специалистов ThreatFabric, в хак-группу, стоящую за Letscall, входят Android-разработчики, дизайнеры, разработчики интерфейсов и бэкендов, а также операторы колл-центрв, специализирующиеся на голосовых атаках и социальной инженерии.
Эксперты описывают Letscall как многофункциональное шпионское ПО или RAT (Remote Access Trojan, «Троян удаленного доступа»), которое создавалось с большим вниманием к видео- и аудиосвязи с жертвой, а также ориентировано на перехват сообщений и телефонных звонков. Отслеживание местоположения так же является важной целью этих злоумышленников.
Все начинается с того, что создатели Letscall используют многоэтапную атаку, обманом вынуждая своих жертв загрузить вредоносные приложения с сайта, имитирующего официальный магазин Google Play Store. Судя по всему, для этого применяется «черное» SEO и социальная инженерия с использованием спама.
В итоге заражение осуществляется в несколько этапов: сначала приложение-загрузчик, скачанное из фиктивного Google Play Store, подготавливает устройство жертвы для установки мощного шпионского ПО: получает необходимые разрешения, открывает фишинговую страницу и устанавливает малварь второго этапа, полученную с управляющего сервера.
На упомянутой фишиновой странице, которая может имитировать, например, сайты известных агрегаторов кредитных предложений, жертву убеждают предоставить конфиденциальную информацию: данные документа удостоверяющего личность, номер телефона, домашний адрес, размер заработной платы, название компании-работодателя и так далее. Эти данные будут автоматически переданы злоумышленникам.
В итоге хакеры либо используют полученные данные для заполнения аналогичной формы на настоящем сайте (для подачи заявки на кредит), либо фишинговая страница вообще действует как прокси между жертвой и страницей настоящего кредитного агрегатора.
Второй этап атаки — установка шпионского приложения, которое помогает злоумышленникам воровать данные, а также регистрирует зараженное устройство в P2P-сети VoIP, используемой для связи с жертвой с помощью видео- или голосовых вызовов. Кроме того, это приложение подготавливает запуск третьего этапа атаки.
На третьем этапе на устройство пострадавшего устанавливается еще одно приложение, которое обладает функциональностью для осуществления телефонных звонков. Злоумышленники используют его для перенаправления звонков с устройства жертвы в колл-центр самих хакеров.
Более того, среди ассетов третьего APK есть заранее заготовленные голосовые сообщения в формате MP3, которые будут воспроизводиться жертве, если та попытается позвонить в банк.
«Здравствуйте, это Hana Bank. Нажмите “1” для перевода в Hana Bank, “2” для перевода в другой банк и “3”, чтобы узнать детали транзакции. Для подключения кредитной карты и других услуг нажмите “6”», — гласит одно из таких сообщений.
Исследователи отмечают, что для работы и соединения жертв с операторами колл-центра Letscall применяет WEBRTC, технологию маршрутизации VoIP-трафика. Кроме того, чтобы качество голосовых и видеозвонков было на высоте, а также для обхода NAT и брандмауэров, хакеры полагаются на методики STUN/TURN, включая серверы Google STUN.
«Третий этап атаки использует собственный набор команд, который включает команды веб-сокетов. Некоторые из этих команд отвечают за манипуляции с адресной книгой, например, к создание и удаление контактов. Другие команды относятся к созданию, изменению и удалению фильтров, которые определяют, какие вызовы следует перехватывать, а какие игнорировать», — пишут исследователи.
Кроме того, по данным аналитиков, некоторые версии загрузчика были защищены с помощью обфускации Tencent Legu или с помощью Bangcle (SecShell). На втором и третьем этапах атаки использовались длинные имена в дереве каталогов файлов ZIP и различные методы искажения манифеста.
«Голосовой фишинг эволюционировал, стал более технологичным и изощренными, поскольку теперь мошенники используют современные технологии маршрутизации голосового трафика и системы, которые автоматически звонят жертве (так называемые автоинформаторы, которые обычно применяются для автоматизации рекламы через телефонные звонки), и проигрывают записанные заранее сообщения-приманки. Если жертва попадается на удочку [злоумышленников], на ее звонок ответит оператор колл-центра и велит действовать так, как хочет мошенник. Злоумышленник может обманом вынудить жертву пойти к ближайшему банкомату, чтобы снять наличные, или подтолкнуть к раскрытию личной информации, включая данные банковского счета, данные банковской карты или учетные данные», — предупреждают эксперты.
