Letscall Malware IOCs

security IOC
Опубликовано

В последние годы вишинг (Vishing), также известный как фишинг с помощью IP-телефонии, стал настолько популярным, что подорвал доверие к звонкам с незнакомых номеров.

Letscall Malware

Получение звонков от абонентов, выдающих себя за сотрудников банка, - нежелательный сценарий, хотя вероятность того, что все входящие звонки в течение дня поступают от мошенников, крайне высока. В ходе ежедневной работы по поиску угроз ThreatFabric обнаружили ранее невиданную группу вредоносных приложений, аналогичных тем, о которых сообщал Касперский.

Группа угроз, стоящая за этими кампаниями, называет этот набор инструментов "Letscall", который в настоящее время ориентирован на жителей Южной Кореи. Технически ничто не запрещает им распространить зону атаки на страны Европейского Союза. Другими словами, мы имеем дело с готовой к использованию структурой, которая может быть использована любым угрожающим субъектом, поскольку содержит все инструкции и инструменты по управлению пораженными устройствами и общению с жертвами.

В состав группы, скорее всего, входят:

  • Android-разработчики, знакомые с современной концепцией маршрутизации VOIP-трафика.
  • Дизайнеры, отвечающие за веб-страницы, иконки и контент для административной панели, фишинговых веб-страниц и мобильных вредоносных приложений.
  • Frontend-разработчики, знакомые с разработкой JavaScript, включая обработку VOIP-трафика.
  • Разработчики бэкенда, владеющие методиками защиты API бэкенда от несанкционированного доступа.
  • Call-операторы, владеющие навыками голосовых социально-инженерных атак и свободно говорящие на разных языках.

Атака состоит из трех этапов:

Жертва заходит на специально созданную фишинговую веб-страницу, которая выглядит как Google Play Store. С этой страницы жертва загружает первый этап цепочки вредоносных приложений.

  • Этот первый этап (будем называть его загрузчиком) запускает на устройстве подготовительные программы, получает необходимые разрешения, открывает фишинговую веб-страницу и устанавливает вредоносное ПО второго этапа, которое будет загружено с управляющего сервера.
  • Второй этап представляет собой мощное шпионское приложение, с помощью которого злоумышленник осуществляет эксфильтрацию данных, а также подключает зараженное устройство к P2P VOIP-сети, используемой для общения с жертвой с помощью видео- или голосовых вызовов. Это приложение также сбрасывает третий этап - следующий фрагмент цепочки.
  • Letscall использует технологию WEBRTC для маршрутизации VOIP-трафика и соединения жертвы с операторами call-центров. Для достижения максимального качества телефонного или видеозвонка, а также для преодоления NAT и межсетевых экранов Letscall использует методы STUN/TURN, в том числе STUN-серверы Google.
  • Третий этап представляет собой приложение-компаньон для вредоносного ПО второго этапа и расширяет некоторые функции: он содержит функционал телефонного звонка, используемый для перенаправления звонка с устройства жертвы на call-центр злоумышленника.

Indicators of Compromise

IPv4

  • 137.220.142.149
  • 137.220.142.160
  • 137.220.179.112
  • 143.92.34.22
  • 143.92.34.44
  • 143.92.34.8
  • 154.215.238.195
  • 35.243.122.211
  • 45.43.215.106
  • 45.43.215.98

Domains

  • finda.letscall.fyi
  • finda.letscall.ltd
  • finda-dl.finda.buzz
  • finda-h5.letscall.ltd
  • finda-msg.letscall.ltd
  • kics-h5.letscall.fyi
  • konan.nicetv.live
  • konan-h5.finda.buzz
  • letscall.39nat.com
  • letscall.fss-app.live
  • lets-dl.finda.buzz
  • org-fin19.letscall.ltd
  • salad-3.letscall.today
  • salad-h5.letscall.today
  • salad-msg.letscall.today

SHA256

  • 22109901f8290dc2319bd9b49e6bf71f9ddc1af482ddb67fc6e1c3b09ecad9c8
  • a522a039ec619a60618c2c8a9e65adb0ff6105b655c1f9b3796e52e0d25958cb
  • bf5259bf53e3747d37d21dbf43b54ff8fa3c57fc991b53fcd320658b6cf34db9
Похожие записи:
  1. Copybara Trojan IOCs
  2. Xenomorp Android Banking Trojan IOCs
  3. Anatsa Trojan IOCs
  4. Nexus Banking Trojan IOCs
  5. Fleckpe Trojan IOCs
Android Letscall ThreatFabric
Добавить комментарий