.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Vishing即語音釣魚,是網路釣魚(Phishing)的電話版本。黑客們利用語音釣魚的方式,在短短的幾分鐘內就可清空人們的賬戶。近年來,隨著Vishing的興起,人們便不再信任未知號碼呼叫。
比如,接到冒充銀行員工的聯繫人打來的電話是非常令人討厭的,最近研究人員遇到了一組以前從未見過的惡意應用程序,開發者將其稱為“Letscall”,目前針對的是來自韓國的個人用戶。從技術上講,沒有任何規定禁止他們將攻擊範圍擴大到歐盟國家。換句話說,我們正在處理一個隨時可用的框架,任何攻擊者都可以使用它,因為它包含了關於如何操作受影響設備以及如何與受害者溝通的所有說明和工具。
該組織可能包括:熟悉現代VOIP流量路由概念的Android開發人員,我們稱其為“開發人員”,因為我們在其中一個階段觀察到命令命名的差異。
設計人員負責網頁、圖標以及管理面板、網絡釣魚網頁和移動惡意應用程序的內容。
前端開發人員熟悉JavaScript開發,包括VOIP流量處理。
後端開發人員熟悉保護後端API免受未經授權訪問的技術。
呼叫具有語音社會工程攻擊技能的接線員,他們可以流利地說不同的語言。
攻擊分為三個階段:受害者訪問一個特別製作的釣魚網頁,看起來像Google Play Store。受害者從該頁面下載惡意應用程序鏈的第一階段。
第一階段(我們稱之為下載程序)在設備上運行準備工作,獲得必要的權限,打開釣魚網頁,並安裝第二階段惡意軟件,該惡意軟件將從控制服務器下載。
第二階段是一個強大的間諜軟件應用程序,它將幫助攻擊者竊取數據,並將受攻擊的設備註冊到P2P VOIP網絡中,該網絡用於通過視頻或語音通話與受害者通信。此應用程序還會釋放第三個階段,即鏈的下一個部分。
letcall使用WEBRTC技術來路由VOIP流量,並將受害者與呼叫中心操作員連接起來。為了達到最大的電話或視頻通話質量,並克服NAT和防火牆,Letscall使用STUN/TURN方法,包括Google STUN服務器。
第三階段是第二階段惡意軟件的配套應用程序,並擴展了一些功能,它包含電話呼叫功能,用於將呼叫從受害者設備重定向到攻擊者呼叫中心。
Vishing技術迭代過程
這種釣魚攻擊已經發展得非常先進和復雜了,因為欺詐者現在使用現代技術進行語音通信路由和自動呼叫受害者的系統(所謂的自動竊取者,用於通過電話自動廣告),並播放預先錄製的誘惑信息。如果受害者上鉤了,接線員就會接起電話,引導受害者按照騙子的要求行事。攻擊者可能會欺騙受害者到最近的自動取款機取現金,或者迫使受害者披露個人信息,如銀行賬戶數據、信用卡詳細信息或銀行憑證。
在過去的幾年裡,這種攻擊已經成為一種明顯的趨勢,沒有證據表明欺詐者會放棄該方法。
如今,受害者和安全行業都在發展,並通過各種防禦機制對抗這種攻擊。使用呼叫者識別應用程序或了解欺詐者策略可能足以抵禦攻擊者。
這可能是欺詐者試圖利用他們所掌握的任何類型的信息,而不僅僅是使用姓名和電話號碼來獲得受害者信任的原因之一。為了獲得更高級別的信任,攻擊者通過訪問受害者設備對受害者進行偵察。
將這兩種類型的攻擊(手機攻擊和Vishing)結合起來,欺詐者可以“一舉兩得”:我們觀察到的一種常見攻擊類型包括在請求受害者小額貸款。如果受害者註意到一些不尋常的活動,攻擊者將打電話給受害者,冒充銀行安全小組的成員,並向受害者保證沒有什麼可擔心的。
在完全控制受攻擊設備的情況下,攻擊者還會將任何呼叫重新路由到由攻擊者管理的另一個呼叫中心。如果受害者決定聯繫銀行並詢問與可疑活動有關的問題,準備充分的接線員將接聽電話。使用這種作案手法,攻擊者還可能要求受害者提供更多細節,以幫助他們進行犯罪活動並完成資金轉移。
這種攻擊是非常危險的,因為受害者必須償還貸款,金融機構可能不會關心這種攻擊和設備攻擊,從而降低了調查潛在欺詐攻擊的可能性。這就是為什麼這樣的攻擊應該被業界披露和報告的原因。
對於“letcall”惡意軟件的所有三個階段,攻擊者都使用了強大的逃避檢測技術。一些版本的下載程序使用騰訊Legu模糊處理或Bangcle(SecShell)進行了保護。對於第二和第三階段,使用了ZIP文件目錄樹中的長名稱和清單攻擊技術。 Checkpoint最近也報導了同樣的技術。然而,從代碼和基礎設施的角度來看,這些活動是不同的。攻擊者有可能彼此分享知識,或者受到同一地區其他攻擊者的影響。
“Letscall”第二和第三階段規模巨大,我們的研究仍在進行中。然而,我們現在想提供一些見解。
下載程序目前還不知道攻擊者如何說服受害者訪問可以找到下載程序的誘餌網頁,這可能是一種黑化的SEO技術或使用垃圾郵件的社會工程。到目前為止,我們知道這些頁面模仿了Google Playstore,並針對移動屏幕分辨率進行了優化。這裡一個值得注意的細節是頁面的語言為韓語。
從技術角度來看,使用的下載程序是相對簡單的應用程序,有時使用我們稍後將描述的自定義技術。下載程序的目標是做兩件事:下載並運行第二階段應用程序。有效負載的URL地址被硬編碼到應用程序中。
打開帶有網絡釣魚窗口的web視圖,該窗口也硬編碼到應用程序中。
這些頁面會因正在進行的傳播活動而有所不同,研究人員發現至少有3個頁面模仿了Banksala(貸款比較聚合器)、Finda(貸款對比聚合器)和KICS(韓國刑事司法服務信息系統)。
每個頁面都會誘使受害者輸入敏感信息,如居民註冊號(身份證)、電話號碼、家庭地址、工資大小和雇主姓名。該輸入數據將自動發送給攻擊者。同樣的數據也被輸入到貸款聚合器的原始網頁中。我們可以非常肯定地說,攻擊者要么會使用竊取的數據在合法網站上填寫類似的表格來申請貸款,要么也可能是網絡釣魚頁面在受害者和貸款聚合頁面之間充當代理:
第二階段乍一看,這個應用程序顯然是非常模糊的,要分析它的功能需要很長時間。讓我們來看看其中的每一種技術:
1.APK文件中包含長路徑名。一些分析系統將無法處理提取此類APK文件的內容。
2.XML文件攻擊。
3.代碼打包:核心DEX文件不包含清單中列出的代碼。然而,它包含模糊代碼,這些代碼將從APK收集文件,對其進行解密並加載。這些文件位於APK文件的根目錄中,它們的名稱以“o”開頭,以“bf”結尾,即“obf”或模糊處理:
所有的文件都有相似的標題和相對較低的熵。
甚至還隱藏了一些字符串:
經過一些修改之後,很明顯,這幾十個文件都是DEX文件,只是在它們的標頭文件中做了微小的修改。通過觀察文件第一個字節中重複的0x1f值,我們可以猜測,為了隱藏原始標頭,使用了一個字節的異或加密,並且只加密了文件的0x64字節。
我們重建了APK文件並分析了代碼。在第一步分析之後,我們意識到我們面臨著一些重大問題。
由此產生的APK文件基於十幾個不同的框架,包括okhttp3和butterknife等流行的框架,以及我們第一次觀察到的一些庫。
最有趣的庫是im/zego。
第二階段濫用合法服務ZEGOCLOUD作為IP語音通信和消息傳遞的提供商。為了處理這種依賴於WEB RTC的通信,攻擊者使用中繼服務器。特別使用的公開可用的STUN/TURN服務器,包括來自Google的服務器,以及自配置的服務器。在此過程中,他們還竊取了應用程序代碼中的憑據。
需要這樣的功能來執行呼叫中心運營商和受害者之間的P2P語音/視頻連接,並且相同的信道也用於具有許多不同命令的C2通信。此外,該惡意軟件還支持使用網絡套接字進行通信。來自P2P服務和web套接字通信的命令有時會相互重複,共涉及32個命令。
為了過濾數據並更改配置,惡意軟件使用傳統的http通信:
攻擊者還可以對需要重定向的電話號碼配置白名單,對需要繞過重定向的電話號碼配置黑名單。
我們注意到的另一件有趣的事情是nanoHTTPD的使用,這個應用程序創建一個本地http服務器,然後打開Chrome瀏覽器進行訪問。
通過濫用可訪問性服務,它將把必要的界面元素推入Chrome,並將第三階段的惡意軟件傳遞給受害者。這種更複雜的方法被用來以更有效的方式欺騙受害者。
第三階段從技術角度來看,安裝的下一個APK文件看起來與第二階段APK非常相似,使用了相同的逃避檢測技術,並且相同的xor加密DEX文件位於APK文件的根文件夾中。此應用程序還包含一個大型代碼庫:
第三階段最有趣的部分是名為“phonecallapp”的包,該包包含負責電話操縱攻擊的代碼,它將攔截傳入和傳出的呼叫,並根據攻擊者的願望重新路由。
為了配置處理電話呼叫的方式,攻擊者使用具有以下結構的本地SQLite數據庫:
在第三階段APK的資產中,已經準備好了MP3語音信息,如果有人試圖撥打銀行電話,就會播放給受害者。
對於攻擊者來說,他們的目標顯然是模仿客戶給銀行打電話時的體驗。
第三階段有自己的一組命令,其中還包括Web套接字命令。
其中一些命令與地址簿的操作有關,例如創建和刪除聯繫人。其他命令涉及創建、修改和刪除過濾器,這些過濾器確定哪些調用應該被攔截,哪些應該被忽略。
基礎設施
在我們獲得Downloader之後,我們開始分析C2服務器並分析了管理面板。
與許多不同的WEB應用程序一樣,它由兩部分組成。
基於VueJS的前端,用於向攻擊者提供可視化內容;
基於Laravel PHP框架的後端,使用API與前端和惡意應用程序通信;
前端是最有趣的部分,因為它為管理員和電話接線員提供了一個功能齊全的工作帳戶。從這個面板中,電話接線員可以選擇受害者,並直接從瀏覽器開始視頻/音頻對話。運營商還可以看到從目標洩漏並上傳到基礎設施的完整詳細信息列表。它由至少33000個代碼字符串組成。
我們確定了操作員可以使用的至少19個與受攻擊設備控制相關的菜單:
此JavaScript應用程序將使用與兩個階段的應用程序相同的VOIP基礎設施,這些服務器列在管理面板配置文件中:
值得注意的是,前端應用程序包含所謂的教程和演示。 ThreatFabric能夠下載其中的兩個。在這些視頻中,我們可以觀察到完整的攻擊鏈以及它是如何在野外發生的。它們可能是為了方便電話接線員,從受害者的角度向他們展示攻擊過程,並使他們能夠回答受害者可能提出的問題。
在分析了前端面板之後,我們發現了後端的各種API。攻擊者將他們分為兩大類:
Admin—負責管理操作員對管理面板的訪問的API,
sys-user—負責從後端基礎設施檢索數據並控制受感染設備的API。
Admin面板代碼還顯示了一些圖片和音頻文件,音頻文件與我們在第三階段應用程序中看到的相同。
另一方面,圖片為我們提供了一些額外細節,例如可能支持四種語言:英語、韓語、日語和中文。
一些圖片包含元信息,比如它們被創建的時間(2022-12-02 15:22)。此外,還提供了一個時區:+8。這個時區對應的是南亞國家,包括中國。
我們還觀察了幾個韓國金融機構的名稱,這些名稱將在攻擊中被使用。
總結在分析了“letcall”惡意軟件活動後,研究人員確定這是一個熟悉Android安全和現代語音路由技術的網絡犯罪組織。該組織證明,技術上精心設計的社會工程攻擊仍然極其危險。該組織致力於使用虛假的Google Play頁面,竊取現有韓國應用程序的圖標,並結合使用nanoHTTPD的新技術來減少有效負載。
居民登記號碼(或身份證)盜竊可以為網絡攻擊者攻擊打開方便之門,我們看到,隨著政府、私人和公共機構越來越多地採用電子身份證解決方案,這種攻擊方式只會增加。重複使用其他攻擊者使用的相同逃避檢測技術在亞洲攻擊組織中很常見。
從網絡分析的角度來看,觀察另一種控制殭屍網絡並將流量隱藏在WEB RTC服務內部的方法是很有趣的。這突出了這樣一個事實,即無論使用的是私人服務器還是谷歌STUN服務器,此類流量都應該始終由保護系統進行分析。
關於“letcall”應用程序,我們討論了多功能間諜軟件,該軟件的設計密切關注與受害者的視頻和音頻連接,以及攔截短信和電話等通信。基於其代碼中包含的許多不同特性,letcall可以被歸類為RAT。 RAT允許攻擊者了解受害者的所有信息,並執行有效的社會工程攻擊。
最後,一些設計良好的基礎設施可能會被講不同語言的電話運營商使用。研究人員預測,這樣的工具包可以作為MaaS(惡意軟件即服務)在暗網上傳播。
為了保證安全,我們需要拒絕任何可疑應用程序的訪問。