Malware móvil Letscall
Los investigadores de seguridad cibernética han emitido una advertencia sobre el aumento de una forma sofisticada de phishing de voz (vishing) llamada 'Letscall'. Esta técnica en particular se está explotando actualmente para dirigirse a personas que residen en Corea del Sur.
Los perpetradores detrás del esquema Letscall emplean una serie de pasos complejos para engañar a sus víctimas para que descarguen aplicaciones maliciosas de un sitio web fraudulento que imita a Google Play Store.
Una vez que el software amenazante se infiltra con éxito en el dispositivo de la víctima, desvía las llamadas entrantes a un centro de llamadas bajo el control total de los delincuentes. Para engañar aún más a las víctimas, los operadores capacitados dentro del centro de llamadas se hacen pasar por empleados del banco, ganándose así su confianza. A través de estas interacciones fraudulentas, las personas desprevenidas, sin saberlo, divulgan información sensible y confidencial a los ciberdelincuentes.
Tabla de contenido
El malware Letscall utiliza varias tecnologías para redirigir el tráfico de voz
Para agilizar la transmisión del tráfico de voz, Letscall incorpora tecnologías avanzadas como Voice over IP (VoIP) y WebRTC. Además, aprovecha los protocolos Session Traversal Utilities for NAT (STUN) y Traversal Using Relays around NAT (TURN), que incluyen la utilización de los servidores Google STUN. Estas tecnologías permiten que la amenaza facilite llamadas telefónicas y videollamadas de alta calidad al tiempo que elude las restricciones impuestas por la traducción de direcciones de red (NAT) y los firewalls.
Se sospecha que el grupo Letscall está compuesto por un equipo de profesionales capacitados con experiencia en diversas áreas. Esto incluye a los desarrolladores, diseñadores, desarrolladores frontend y backend de Android, así como a los operadores de llamadas que se especializan en ataques de ingeniería social de voz. Sus habilidades y conocimientos combinados les permiten crear, administrar y ejecutar las operaciones sofisticadas involucradas en la campaña Letscall.
Una cadena de operaciones compleja y capacidades de evasión significativas observadas en el malware Letscall
El malware Letscall opera a través de un proceso bien definido de tres etapas. En primer lugar, se implementa una aplicación de descarga en el dispositivo de la víctima, que sirve como paso preparatorio para la instalación de potentes programas espía. A continuación, el software espía inicia la etapa final, lo que permite el desvío de las llamadas entrantes al centro de llamadas controlado por los atacantes.
En la tercera etapa, el malware lleva a cabo un conjunto distinto de comandos, incluidos los que se ejecutan a través de comandos de socket web. Algunos de estos comandos giran en torno a la manipulación de la libreta de direcciones del dispositivo, como la creación y eliminación de contactos. Otros implican la creación, modificación y eliminación de filtros que determinan qué llamadas deben interceptarse y cuáles deben ignorarse.
Lo que distingue a Letscall de otras amenazas de malware similares es el empleo de técnicas avanzadas de evasión. El malware incorpora los métodos de ofuscación Tencent Legu y Bangcle (SecShell) durante la fase de descarga inicial. En etapas posteriores, emplea estructuras de nombres complejas dentro de los directorios de archivos ZIP y corrompe intencionalmente el archivo de manifiesto para ofuscar sus intenciones y confundir los sistemas de seguridad, evadiendo así la detección.
Los delincuentes detrás de Letscall también han desarrollado sistemas automatizados que inician llamadas a sus víctimas, reproduciendo mensajes pregrabados para engañarlos aún más. Al combinar la infección de teléfonos móviles con técnicas de vishing, estos estafadores pueden solicitar microcréditos a nombre de las víctimas y, al mismo tiempo, alertarlas sobre supuestas actividades sospechosas. Además, redirigen las llamadas a sus centros de llamadas, lo que aumenta la ilusión de legitimidad y aumenta la tasa de éxito de sus actividades fraudulentas.
Las víctimas del malware Letscall podrían experimentar grandes pérdidas financieras
Las repercusiones de tales ataques pueden tener un gran impacto, colocando a las víctimas bajo el peso de préstamos sustanciales que deben pagar. Desafortunadamente, las instituciones financieras a menudo subestiman la gravedad de estas invasiones y se niegan a investigar a fondo los posibles casos de fraude.
Si bien esta amenaza particular actualmente se limita a Corea del Sur, los investigadores advierten que no existen barreras técnicas que impidan que estos atacantes extiendan su alcance a otras regiones, incluida la Unión Europea. Este potencial de expansión destaca la adaptabilidad y la agilidad de los ciberdelincuentes para explotar la tecnología con fines maliciosos.
Esta variante emergente de los ataques de vishing sirve como un claro recordatorio de la naturaleza en constante evolución de las tácticas criminales y su habilidad para aprovechar la tecnología con fines nefastos. El grupo responsable del desarrollo de Letscall Malware exhibe un profundo conocimiento de las tecnologías de enrutamiento de voz y seguridad de Android, lo que demuestra su conocimiento sofisticado en estas áreas.
