Logiciels malveillants mobiles Letscall
Un avertissement concernant la montée d'une forme sophistiquée de phishing vocal (vishing) appelée « Letscall » a été émis par des chercheurs en cybersécurité. Cette technique particulière est actuellement exploitée pour cibler des individus résidant en Corée du Sud.
Les auteurs du stratagème Letscall emploient une série d'étapes complexes pour inciter leurs victimes à télécharger des applications malveillantes à partir d'un site Web frauduleux qui imite le Google Play Store.
Une fois que le logiciel menaçant s'est infiltré avec succès dans l'appareil de la victime, il détourne les appels entrants vers un centre d'appels sous le contrôle total des criminels. Pour tromper davantage les victimes, des opérateurs formés au sein du centre d'appels se font passer pour des employés de banque, gagnant ainsi leur confiance. Grâce à ces interactions frauduleuses, des individus sans méfiance divulguent sans le savoir des informations sensibles et confidentielles aux cybercriminels.
Table des matières
Le logiciel malveillant Letscall utilise plusieurs technologies pour rediriger le trafic vocal
Pour rationaliser la transmission du trafic voix, Letscall intègre des technologies avancées comme la Voix sur IP (VoIP) et le WebRTC. En outre, il exploite les protocoles Session Traversal Utilities for NAT (STUN) et Traversal Using Relays around NAT (TURN), qui incluent l'utilisation des serveurs Google STUN. Ces technologies permettent à la menace de faciliter les appels téléphoniques et vidéo de haute qualité tout en contournant les restrictions imposées par la traduction d'adresses réseau (NAT) et les pare-feu.
Le groupe Letscall est soupçonné d'être composé d'une équipe de professionnels qualifiés ayant une expertise dans divers domaines. Cela inclut les développeurs Android, les concepteurs, les développeurs frontend et backend, ainsi que les opérateurs d'appels spécialisés dans les attaques vocales d'ingénierie sociale. Leurs compétences et connaissances combinées leur permettent de créer, gérer et exécuter les opérations sophistiquées impliquées dans la campagne Letscall.
Une chaîne d'opération complexe et des capacités d'évasion importantes observées dans le malware Letscall
Le logiciel malveillant Letscall fonctionne selon un processus bien défini en trois étapes. Tout d'abord, une application de téléchargement est déployée sur l'appareil de la victime, ce qui sert d'étape préparatoire à l'installation d'un logiciel espion puissant. Ensuite, le logiciel espion lance alors la dernière étape, permettant le réacheminement des appels entrants vers le centre d'appels contrôlé par les attaquants.
Dans la troisième étape, le logiciel malveillant exécute un ensemble distinct de commandes, y compris celles exécutées via des commandes de socket Web. Certaines de ces commandes tournent autour de la manipulation du carnet d'adresses de l'appareil, comme la création et la suppression de contacts. D'autres impliquent la création, la modification et la suppression de filtres qui déterminent quels appels doivent être interceptés et lesquels doivent être ignorés.
Ce qui distingue Letscall des autres menaces de logiciels malveillants similaires, c'est son utilisation de techniques d'évasion avancées. Le logiciel malveillant intègre les méthodes d'obscurcissement Tencent Legu et Bangcle (SecShell) lors de la phase de téléchargement initiale. Dans les étapes suivantes, il utilise des structures de dénomination complexes dans les répertoires de fichiers ZIP et corrompt intentionnellement le fichier manifeste pour obscurcir ses intentions et confondre les systèmes de sécurité, évitant ainsi la détection.
Les criminels derrière Letscall ont également développé des systèmes automatisés qui lancent des appels à leurs victimes, diffusant des messages préenregistrés pour les tromper davantage. En combinant l'infection des téléphones portables avec des techniques de vishing, ces fraudeurs peuvent demander des micro-prêts au nom des victimes tout en les alarmant sur de prétendues activités suspectes. De plus, ils redirigent les appels vers leurs centres d'appels, ajoutant à l'illusion de légitimité et augmentant le taux de réussite de leurs activités frauduleuses.
Les victimes du logiciel malveillant Letscall pourraient subir de lourdes pertes financières
Les répercussions de telles attaques peuvent être très importantes, plaçant les victimes sous le poids d'emprunts substantiels qu'elles doivent rembourser. Malheureusement, les institutions financières sous-estiment souvent la gravité de ces invasions et négligent d'enquêter de manière approfondie sur les cas potentiels de fraude.
Bien que cette menace particulière soit actuellement confinée à la Corée du Sud, les chercheurs avertissent qu'il n'y a pas de barrières techniques empêchant ces attaquants d'étendre leur portée à d'autres régions, y compris l'Union européenne. Ce potentiel d'expansion met en évidence l'adaptabilité et l'agilité des cybercriminels à exploiter la technologie à des fins malveillantes.
Cette variante émergente des attaques de vishing sert de rappel brutal de la nature en constante évolution des tactiques criminelles et de leur capacité à tirer parti de la technologie à des fins néfastes. Le groupe responsable du développement de Letscall Malware fait preuve d'une compréhension approfondie des technologies de sécurité et de routage vocal d'Android, mettant en valeur ses connaissances sophistiquées dans ces domaines.
