Los investigadores han emitido una advertencia sobre una forma emergente y avanzada de phishing de voz (vishing) conocida como «Llamemos.» Esta técnica actualmente está dirigida a individuos en Corea del Sur.
Los delincuentes detrás de «Letscall» emplean un ataque de varios pasos para engañar a las víctimas para que descarguen aplicaciones maliciosas de un sitio web falsificado de Google Play Store.
Una vez que se instala el software malicioso, redirige las llamadas entrantes a un centro de llamadas bajo el control de los delincuentes. Operadores capacitados que se hacen pasar por empleados bancarios luego extraen información confidencial de víctimas desprevenidas.
Para facilitar el enrutamiento del tráfico de voz, «Letscall» utiliza tecnologías de punta como voz sobre IP (VOIP) y WebRTC. También utiliza los protocolos Session Traversal Utilities for NAT (STUN) y Traversal Using Relays around NAT (TURN), incluidos los servidores Google STUN, para garantizar llamadas telefónicas o videollamadas de alta calidad y evitar las restricciones de firewall y NAT.
El grupo «Letscall» está formado por desarrolladores, diseñadores, desarrolladores frontend y backend de Android, así como operadores de llamadas que se especializan en ataques de ingeniería social de voz.
El malware opera en tres etapas: primero, una aplicación de descarga prepara el dispositivo de la víctima, allanando el camino para la instalación de un poderoso spyware. Este software espía luego activa la etapa final, que permite el desvío de las llamadas entrantes al centro de llamadas de los atacantes.
«La tercera etapa tiene su propio conjunto de comandos, que también incluye comandos de socket web. Algunos de estos comandos se relacionan con la manipulación de la libreta de direcciones, como la creación y eliminación de contactos. Otros comandos se relacionan con la creación, modificación y eliminación de filtros. que determinan qué llamadas se deben interceptar y cuáles se deben ignorar», dijo la empresa holandesa de seguridad móvil ThreatFabric en su informe.
Lo que distingue a «Letscall» es su utilización de técnicas avanzadas de evasión. El malware incorpora la ofuscación de Tencent Legu y Bangcle (SecShell) durante la descarga inicial. En etapas posteriores, emplea estructuras de nombres complejas en directorios de archivos ZIP y corrompe intencionalmente el manifiesto para confundir y eludir los sistemas de seguridad.
Los delincuentes han desarrollado sistemas que llaman automáticamente a las víctimas y reproducen mensajes pregrabados para seguir engañándolas. Al combinar infecciones de teléfonos móviles con técnicas de vishing, estos estafadores pueden solicitar microcréditos a nombre de las víctimas mientras les aseguran actividades sospechosas y redirigen las llamadas a sus centros.
🔐 Gestión de acceso privilegiado: aprenda a superar desafíos clave
Descubra diferentes enfoques para conquistar los desafíos de la administración de cuentas privilegiadas (PAM) y suba de nivel su estrategia de seguridad de acceso privilegiado.
Las consecuencias de tales ataques pueden ser significativas, dejando a las víctimas con la carga de préstamos sustanciales para pagar. Las instituciones financieras a menudo subestiman la gravedad de estas invasiones y no investigan posibles fraudes.
Aunque esta amenaza actualmente se limita a Corea del Sur, los investigadores advierten que no existen barreras técnicas que impidan que estos atacantes se expandan a otras regiones, incluida la Unión Europea.
Esta nueva forma de ataque vishing destaca la evolución constante de las tácticas delictivas y su capacidad para explotar la tecnología con fines maliciosos. El grupo responsable del malware «Letscall» demuestra un conocimiento complejo de las tecnologías de enrutamiento de voz y seguridad de Android.