LetsCall şu anda Güney Kore’deki kullanıcıları hedefliyor, ancak ne kadar gelişmiş olduğu düşünüldüğünde, araştırmacılar saldırganların bu kampanyayı Avrupa Birliği ülkelerine genişletebileceğine inanıyor.
Yükselişi dilek (ses veya VoIP kimlik avı), tüketicilerin kimliği belirsiz arayanlara olan güvenini etkiledi. Genellikle banka çalışanlarından veya satış görevlilerinden gelen aramalar yaygındır, ancak aramayı bir dolandırıcı yaparsa ne olur?
7 Temmuz 2023’te ThreatFabric tarafından yayınlanan bir rapora göre, vishing saldırıları son zamanlarda çok daha karmaşık hale geldi. Yeni tespit edilen çok aşamalı vishing kampanyasında saldırganlar, LetsCall adlı, güçlü kaçırma taktikleri içeren gelişmiş bir araç seti kullanıyor.
LetsCall, Güney Kore’deki kullanıcıları hedefliyor, ancak ne kadar karmaşık olduğu düşünüldüğünde, ThreatFabric araştırmacıları, saldırganların bu kampanyayı Avrupa Birliği ülkelerine genişletebileceğine inanıyor. Onu benzersiz kılan, “herhangi bir tehdit aktörünün kullanabileceği, kullanıma hazır bir çerçeve” olmasıdır.
LetsCall Saldırı Aşamaları
Bu saldırı üç aşamadan oluşmaktadır. Araştırmacılar, cihaz üzerinde hazırlıkların yapıldığı, gerekli izinlerin alındığı ve bir oltalama web sayfasının görüntülendiği ilk aşamaya Downloader adını verdiler. Ardından, kötü amaçlı yazılımın ikinci aşaması kontrol sunucusundan indirilir.
İlk aşamada kurban, saldırganın evini ziyaret eder. özel hazırlanmış kimlik avı web sayfasıGoogle Play Store’a benzeyen ve kandırılarak kötü amaçlı uygulama zincirini indirmeye çalışan .
İkinci aşama, güçlü bir casus yazılım uygulamasını gerektirir. Saldırgan, kurbana sesli/görüntülü aramalar yapmak için verileri sızdırır ve virüslü cihazı P2P VOIP ağına kaydeder. yasal bir hizmet denir ZEGOCLOUD ayrıca VOIP iletişimini/mesajlaşmasını kolaylaştırmak için kötüye kullanılır.
Bu tür iletişimler WEB RTC aracılığıyla etkinleştirildiğinden, saldırgan geçiş sunucularını, özellikle de Google STUN ve kendi kendini yapılandıran sunucular dahil olmak üzere herkese açık STUN/TURN sunucularını kullanır. Bu işlem, uygulama kodundaki kimlik bilgilerini sızdırabilir.
İletişim, P2P hizmetinden ve web soketinden gelen komutların tekrarlanmasına neden olabilecek web soketleri aracılığıyla etkinleştirilebilir. Saldırgan, yönlendirilecek telefon numaraları için bir beyaz liste ve yeniden yönlendirmeyi atlaması gereken numaralar için bir kara liste yapılandırabilir. Araştırmacılar ayrıca yerel bir HTTP sunucusu oluşturmak için nanoHTTPD kullanımına dikkat çekti.
Üçüncü aşamada, ikinci aşama kötü amaçlı yazılımın işlevlerini genişletmek için eşlik eden bir uygulama başlatılır. Aramaları kurbanın cihazından saldırganın çağrı merkezine yönlendirmek için telefon araması işlevine sahiptir. APK dosyası, her ikisi de aynı kaçırma tekniklerine ve APK dosyasının kök klasöründe XOR ile şifrelenmiş DEX dosyalarına sahip olduğundan, ikinci aşama APK’ye benzer.
Bu uygulama, geniş bir kod tabanına ve telefon görüşmesi manipülasyon saldırısı için kod içeren “phonecallapp” adlı ilginç bir pakete sahiptir. Gelen/giden aramaları yakalayabilir ve saldırganın isteğine göre yeniden yönlendirebilir. Saldırganlar, telefon görüşmesini işlemek için yapısı aşağıdaki gibi olan yerel bir SQLite veritabanı kullanır:
APK varlıklarının bir kısmı önceden hazırlanmıştır MP3 sesli mesajlar arayan kişiyi bankadan en iyi operatöre yönlendirerek sürece meşruiyet katmak için giden banka arama girişimleri gerekiyorsa mağdura oynanır. İşte bu mesajlardan birinin Koreceden İngilizceye çevrilmiş metni:
“Merhaba, ben Hana Bank. … Hana Bank’a havale için 1’e, başka bir bankaya havale için 2’ye ve işlem detayları için 3’e basın. Kredi kartı bağlantısı için diğer hizmetler için 6’ya basınız.”
Birçok MP3 dosyası, bir kurbanın tuş takımı numaralarını çevirirken ürettiği sesleri simüle etmek için DTMF çevirme kodlarını taklit eder. Ayrıca üçüncü aşama, Web soketi komutları da dahil olmak üzere bir dizi komut içerir.
Ön Uç uygulaması ayrıca öğreticiler ve demolar içerir; ThreatFabric araştırmacıları iki demo indirdi ve tam bulaşma zincirini ve Admin ve Sys-user olarak bölünmüş çok sayıda arka uç API’sini gözlemledi.
Kurbanlar Nasıl Kandırılır?
Saldırganın kurbanı web sayfasını ziyaret etmeye nasıl ikna ettiği belli değil. Araştırmacılar, saldırganların Siyah SEO kullanıyor olabileceğinden şüpheleniyor veya toplum mühendisliği teknikleri. Açık olan, sayfaların Google Play mağazasını taklit ettiği ve mobil ekranlarda görüntülenebileceğidir.
Bunlar Korece ama senaryoda Çince yorumlar var. Üç sayfalık araştırmacılar taklit edilmiş Banksalad (Kredi karşılaştırma toplayıcı), Finda (kredi karşılaştırma toplayıcı) ve KICS’i (Kore Ceza-Adalet Hizmetleri Bilgi Sistemi) gördü.
Her biri, Mukim Kayıt Numarası/Kimliği, telefon numarası, maaş, ev adresi ve işveren kimliği gibi hassas veriler istedi. Veriler, kredi talep etmek için saldırganlara ve gerçek bir kredi toplayıcı sayfasına aktarılır.
Vishing Saldırıları: Sürekli Gelişen Bir Tehdit
Tehdit Kumaşları son rapor şüphelenmeyen kullanıcıları tuzağa düşürmek için ne kadar sofistike vishing araçları haline geldiğini açıklayarak siber güvenlik kardeşliği arasında endişelere yol açtı. Gözlemlerine göre, dolandırıcılar ses trafiğini yönlendirmek için modern teknolojiyi kullanıyor. Kurbanları otomatik olarak arayabilen ve hatta telefon görüşmeleri yoluyla reklamları otomatikleştirebilen otomatik muhbirler olarak da bilinen sistemler geliştirdiler.
Bu sistemler, kullanıcıları kötü amaçlı URL’leri ziyaret etmeye veya hassas kişisel veya finansal verileri (örneğin, banka hesabı veya kredi kartı kimlik bilgileri) vermeye yönlendirmek için önceden kaydedilmiş mesajları oynatır.
Hatta en yakınlarını ziyaret etmeleri için kandırılabilirler. Nakit çekmek için ATM. Dolandırıcılar, vishing ile cep telefonu bulaşmasını birleştirerek kurban adına bir mikro kredi talep edebilir ve finans kurumları onlara inanmadığından kurbanın ödemek zorunda kalacağı bir mikro kredi talep edebilir.
Kurban olağandışı bir faaliyetten şüphelenirse, dolandırıcı, hiçbir sorun olmadığından emin olmak için bankanın güvenlik ekibi personeli gibi davranarak onları arar. Saldırgan, cihazın tam kontrolünü ele geçirdikten sonra aramaları istediği herhangi bir çağrı merkezine yönlendirebilir ve hatta bankadan gelen aramaları cevaplayabilir.
ALAKALI HABERLER
- FakeCalls Android Kötü Amaçlı Yazılımını Yayan Yeni Vishing Saldırısı
- Kimlik Avı Saldırılarının Türleri ve Hepsinden Nasıl Kurtulunur?
- Google Play Store Uygulamalarında Çin Bağlantılı Casus Yazılım, 2 Milyon İndirme
- Kimlik Avı Dolandırıcılığı Alman Medyasını, Geniş Bant Konferansı Anga’yı Sahtekarlaştırıyor
- Yeni Aldatıcı Kimlik Avı Saldırısında “Resim İçinde Resim” Tekniği Kullanıldı