Ngày 07 tháng 7 năm 2023Swati KhandelwalBảo mật di động / Phần mềm độc hại
Các nhà nghiên cứu đã đưa ra cảnh báo về một hình thức lừa đảo bằng giọng nói (vishing) mới nổi và tiên tiến được gọi là “Letscall”. Kỹ thuật này hiện đang nhắm mục tiêu các cá nhân ở Hàn Quốc.
Những tên tội phạm đằng sau “Letscall” sử dụng một cuộc tấn công gồm nhiều bước để đánh lừa nạn nhân tải xuống các ứng dụng độc hại từ trang web cửa hàng google play giả mạo.
Sau khi phần mềm độc hại được cài đặt, nó sẽ chuyển hướng các cuộc gọi đến đến trung tâm cuộc gọi dưới sự kiểm soát của bọn tội phạm. Những người điều hành được đào tạo đóng giả làm nhân viên ngân hàng sau đó trích xuất thông tin nhạy cảm từ những nạn nhân không ngờ tới.
Để tạo thuận lợi cho việc định tuyến lưu lượng thoại, “Letscall” sử dụng các công nghệ tiên tiến như thoại qua IP (VOIP) và WebRTC. Nó cũng sử dụng Tiện ích truyền tải phiên cho NAT (STUN) và Truyền tải bằng cách sử dụng rơle xung quanh các giao thức NAT (TURN), bao gồm cả máy chủ Google STUN, để đảm bảo các cuộc gọi điện thoại hoặc video chất lượng cao và vượt qua các hạn chế của tường lửa và NAT.
Nhóm “Letscall” bao gồm các nhà phát triển Android, nhà thiết kế, nhà phát triển giao diện người dùng và phụ trợ, cũng như các nhà điều hành cuộc gọi chuyên về các cuộc tấn công kỹ thuật xã hội bằng giọng nói.
Phần mềm độc hại hoạt động theo ba giai đoạn: đầu tiên, ứng dụng tải xuống chuẩn bị thiết bị của nạn nhân, mở đường cho việc cài đặt phần mềm gián điệp mạnh mẽ. Phần mềm gián điệp này sau đó sẽ kích hoạt giai đoạn cuối cùng, cho phép định tuyến lại các cuộc gọi đến trung tâm cuộc gọi của những kẻ tấn công.
“Giai đoạn thứ ba có bộ lệnh riêng, bao gồm cả lệnh Web socket. Một số lệnh này liên quan đến thao tác trên sổ địa chỉ, chẳng hạn như tạo và xóa danh bạ. Các lệnh khác liên quan đến tạo, sửa đổi và xóa bộ lọc công ty bảo mật di động Hà Lan ThreatFabric cho biết trong báo cáo của mình.
Điều làm nên sự khác biệt của “Letscall” là việc sử dụng các kỹ thuật trốn tránh tiên tiến. Phần mềm độc hại kết hợp che giấu Tencent Legu và Bangcle (SecShell) trong quá trình tải xuống ban đầu. Trong các giai đoạn sau, nó sử dụng các cấu trúc đặt tên phức tạp trong các thư mục tệp ZIP và cố tình làm hỏng tệp kê khai để gây nhầm lẫn và vượt qua các hệ thống bảo mật.
Tội phạm đã phát triển các hệ thống tự động gọi cho nạn nhân và phát các tin nhắn được ghi âm sẵn để đánh lừa họ. Bằng cách kết hợp việc lây nhiễm qua điện thoại di động với các kỹ thuật vishing, những kẻ lừa đảo này có thể yêu cầu các khoản vay vi mô dưới tên của nạn nhân đồng thời đảm bảo với họ về các hoạt động đáng ngờ và chuyển hướng cuộc gọi đến trung tâm của chúng.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Quản lý quyền truy cập đặc quyền: Tìm hiểu cách chinh phục những thách thức chính
Khám phá các cách tiếp cận khác nhau để chinh phục các thử thách Quản lý tài khoản đặc quyền (PAM) và tăng cấp cho chiến lược bảo mật truy cập đặc quyền của bạn.
Đặt chỗ của bạn
Hậu quả của những cuộc tấn công như vậy có thể rất nghiêm trọng, khiến nạn nhân phải gánh những khoản vay lớn phải trả. Các tổ chức tài chính thường đánh giá thấp mức độ nghiêm trọng của những cuộc xâm nhập này và không điều tra được gian lận tiềm ẩn.
Mặc dù mối đe dọa này hiện chỉ giới hạn ở Hàn Quốc, nhưng các nhà nghiên cứu cảnh báo rằng không có rào cản kỹ thuật nào ngăn cản những kẻ tấn công này mở rộng sang các khu vực khác, bao gồm cả Liên minh châu Âu.
Hình thức tấn công vishing mới này nhấn mạnh sự phát triển không ngừng của các chiến thuật tội phạm và khả năng khai thác công nghệ của chúng cho các mục đích xấu. Nhóm chịu trách nhiệm về phần mềm độc hại “Letscall” thể hiện kiến thức phức tạp về bảo mật Android và công nghệ định tuyến giọng nói.
