Les chercheurs ont émis un avertissement concernant une forme émergente et avancée de phishing vocal (vishing) connue sous le nom de « Appelons. » Cette technique cible actuellement des particuliers en Corée du Sud.
Les criminels derrière « Letscall » utilisent une attaque en plusieurs étapes pour inciter les victimes à télécharger des applications malveillantes à partir d’un site Web Google Play Store contrefait.
Une fois le logiciel malveillant installé, il redirige les appels entrants vers un centre d’appels sous le contrôle des criminels. Des opérateurs formés se faisant passer pour des employés de banque extraient ensuite des informations sensibles de victimes sans méfiance.
Pour faciliter l’acheminement du trafic voix, « Letscall » utilise des technologies de pointe telles que la voix sur IP (VOIP) et le WebRTC. Il utilise également les protocoles Session Traversal Utilities for NAT (STUN) et Traversal Using Relays around NAT (TURN), y compris les serveurs Google STUN, pour garantir des appels téléphoniques ou vidéo de haute qualité et contourner les restrictions NAT et de pare-feu.
Le groupe « Letscall » est composé de développeurs Android, de concepteurs, de développeurs frontend et backend, ainsi que d’opérateurs d’appel spécialisés dans les attaques d’ingénierie sociale vocale.
Le logiciel malveillant fonctionne en trois étapes : premièrement, une application de téléchargement prépare l’appareil de la victime, ouvrant la voie à l’installation d’un logiciel espion puissant. Ce logiciel espion déclenche alors la dernière étape, qui permet de rediriger les appels entrants vers le centre d’appels des attaquants.
« La troisième étape a son propre ensemble de commandes, qui comprend également des commandes de socket Web. Certaines de ces commandes concernent la manipulation du carnet d’adresses, telles que la création et la suppression de contacts. D’autres commandes concernent la création, la modification et la suppression des filtres qui déterminent quels appels doivent être interceptés et lesquels doivent être ignorés », a déclaré la société néerlandaise de sécurité mobile ThreatFabric dans son rapport.
Ce qui distingue « Letscall » est son utilisation de techniques d’évasion avancées. Le logiciel malveillant intègre l’obfuscation Tencent Legu et Bangcle (SecShell) lors du téléchargement initial. Dans les étapes ultérieures, il utilise des structures de nommage complexes dans les répertoires de fichiers ZIP et corrompt intentionnellement le manifeste pour semer la confusion et contourner les systèmes de sécurité.
Les criminels ont développé des systèmes qui appellent automatiquement les victimes et diffusent des messages préenregistrés pour les tromper davantage. En combinant les infections des téléphones portables avec les techniques de vishing, ces fraudeurs peuvent demander des microcrédits au nom des victimes tout en les assurant des activités suspectes et en redirigeant les appels vers leurs centres.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Les conséquences de telles attaques peuvent être importantes, laissant les victimes accablées par des prêts substantiels à rembourser. Les institutions financières sous-estiment souvent la gravité de ces invasions et omettent d’enquêter sur les fraudes potentielles.
Bien que cette menace soit actuellement limitée à la Corée du Sud, les chercheurs préviennent qu’il n’y a pas de barrières techniques empêchant ces attaquants de s’étendre à d’autres régions, y compris l’Union européenne.
Cette nouvelle forme d’attaque par vishing souligne l’évolution constante des tactiques criminelles et leur capacité à exploiter la technologie à des fins malveillantes. Le groupe responsable du logiciel malveillant « Letscall » démontre une connaissance approfondie des technologies de sécurité et de routage vocal d’Android.