В последние годы вишинг (Vishing), также известный как фишинг с помощью IP-телефонии, стал настолько популярным, что подорвал доверие к звонкам с незнакомых номеров.
Letscall Malware
Получение звонков от абонентов, выдающих себя за сотрудников банка, - нежелательный сценарий, хотя вероятность того, что все входящие звонки в течение дня поступают от мошенников, крайне высока. В ходе ежедневной работы по поиску угроз ThreatFabric обнаружили ранее невиданную группу вредоносных приложений, аналогичных тем, о которых сообщал Касперский.
Группа угроз, стоящая за этими кампаниями, называет этот набор инструментов "Letscall", который в настоящее время ориентирован на жителей Южной Кореи. Технически ничто не запрещает им распространить зону атаки на страны Европейского Союза. Другими словами, мы имеем дело с готовой к использованию структурой, которая может быть использована любым угрожающим субъектом, поскольку содержит все инструкции и инструменты по управлению пораженными устройствами и общению с жертвами.
В состав группы, скорее всего, входят:
- Android-разработчики, знакомые с современной концепцией маршрутизации VOIP-трафика.
- Дизайнеры, отвечающие за веб-страницы, иконки и контент для административной панели, фишинговых веб-страниц и мобильных вредоносных приложений.
- Frontend-разработчики, знакомые с разработкой JavaScript, включая обработку VOIP-трафика.
- Разработчики бэкенда, владеющие методиками защиты API бэкенда от несанкционированного доступа.
- Call-операторы, владеющие навыками голосовых социально-инженерных атак и свободно говорящие на разных языках.
Атака состоит из трех этапов:
Жертва заходит на специально созданную фишинговую веб-страницу, которая выглядит как Google Play Store. С этой страницы жертва загружает первый этап цепочки вредоносных приложений.
- Этот первый этап (будем называть его загрузчиком) запускает на устройстве подготовительные программы, получает необходимые разрешения, открывает фишинговую веб-страницу и устанавливает вредоносное ПО второго этапа, которое будет загружено с управляющего сервера.
- Второй этап представляет собой мощное шпионское приложение, с помощью которого злоумышленник осуществляет эксфильтрацию данных, а также подключает зараженное устройство к P2P VOIP-сети, используемой для общения с жертвой с помощью видео- или голосовых вызовов. Это приложение также сбрасывает третий этап - следующий фрагмент цепочки.
- Letscall использует технологию WEBRTC для маршрутизации VOIP-трафика и соединения жертвы с операторами call-центров. Для достижения максимального качества телефонного или видеозвонка, а также для преодоления NAT и межсетевых экранов Letscall использует методы STUN/TURN, в том числе STUN-серверы Google.
- Третий этап представляет собой приложение-компаньон для вредоносного ПО второго этапа и расширяет некоторые функции: он содержит функционал телефонного звонка, используемый для перенаправления звонка с устройства жертвы на call-центр злоумышленника.
Indicators of Compromise
IPv4
- 137.220.142.149
- 137.220.142.160
- 137.220.179.112
- 143.92.34.22
- 143.92.34.44
- 143.92.34.8
- 154.215.238.195
- 35.243.122.211
- 45.43.215.106
- 45.43.215.98
Domains
- finda.letscall.fyi
- finda.letscall.ltd
- finda-dl.finda.buzz
- finda-h5.letscall.ltd
- finda-msg.letscall.ltd
- kics-h5.letscall.fyi
- konan.nicetv.live
- konan-h5.finda.buzz
- letscall.39nat.com
- letscall.fss-app.live
- lets-dl.finda.buzz
- org-fin19.letscall.ltd
- salad-3.letscall.today
- salad-h5.letscall.today
- salad-msg.letscall.today
SHA256
- 22109901f8290dc2319bd9b49e6bf71f9ddc1af482ddb67fc6e1c3b09ecad9c8
- a522a039ec619a60618c2c8a9e65adb0ff6105b655c1f9b3796e52e0d25958cb
- bf5259bf53e3747d37d21dbf43b54ff8fa3c57fc991b53fcd320658b6cf34db9