Siber güvenlik araştırmacıları, Android cihazları hedef alan yeni bir kötü amaçlı yazılım operasyonu olan RedWing'i ortaya çıkardı. Bu yazılım, Telegram üzerinden kiralık bir hizmet olarak sunuluyor ve bankacılık dolandırıcılığı için hazır bir altyapı sağlıyor. Zimperium'un zLabs ekibi tarafından keşfedilen RedWing, daha önce belgelenen ve aylık 300 dolara kiralanan Oblivion adlı kötü amaçlı yazılımın yeni bir varyantı olarak değerlendiriliyor. Operasyon, düşük becerili suçluların bile mağdurun telefonunu ele geçirmesine, banka giriş bilgilerini çalmasına ve hesapları koruyan tek kullanımlık kodları yakalamasına olanak tanıyor.
RedWing, abonelik katmanları, referans indirimleri, kılavuzlar ve nasıl yapılır videolarıyla eksiksiz bir ürün olarak satılıyor. Alıcıların kötü amaçlı yazılım yazma becerisine ihtiyacı yok; bir Telegram botu, her alıcı için talep üzerine özel bir uygulama oluşturuyor. Araştırmacılar, ortaya çıkan dropper ve yüklerin önemli bir kısmının mevcut güvenlik araçlarından kaçtığını belirtiyor. Enfeksiyon, sahte bir uygulama mağazası sayfası açan bir kimlik avı bağlantısıyla başlıyor. Kitin dropper oluşturucusu, Google Play, Galaxy Store ve AppGallery'yi taklit edebiliyor veya sahte derecelendirmeler, yorumlar ve indirme sayılarıyla tamamen özel sayfalar oluşturabiliyor.
Uygulama, izin taleplerini ekran ekran aşamalı olarak sunuyor. Arka planda zararsız görünen bir web sayfası çalışırken, açılır kartlar izinleri rutin işlemler gibi göstererek kullanıcıyı ikna ediyor: pil sınırlamalarını kapatma, uygulamayı varsayılan SMS yöneticisi yapma ve bildirimleri açma. Ayrıca Android'in Erişilebilirlik hizmetini etkinleştirmeyi istiyor; bu hizmet, kötü amaçlı yazılımların ekranı okumasına ve telefonu kontrol etmesine olanak tanıyor. Bu izinlerle RedWing, telefon üzerinde geniş bir kontrole sahip oluyor: gerçek bankacılık ve kripto para uygulamalarının üzerine sahte giriş ekranları yerleştirme, gelen SMS'lerden tek kullanımlık şifreleri okuma, aramaları gizlice yönlendirme, canlı ekran yayını ve tuş kaydedici ile telefonu gerçek zamanlı izleme, kamera ve mikrofonu açma, dosyaları okuma, kişileri ve arama kayıtlarını çalma, konum takibi yapma ve enfekte telefonları DDoS saldırıları için kullanma.
RedWing, herhangi bir Android güvenlik açığı kullanmıyor; yalnızca kullanıcının uygulamayı resmi mağaza dışından yüklemesi ve izinleri onaylaması durumunda çalışıyor. Bu nedenle ilk savunma hattı, yükleme anında yapılanlara bağlı. Bireyler için öneriler: uygulamaları yalnızca resmi mağazalardan yükleyin, bağlantı veya SMS yoluyla gelen 'güncelleme' taleplerine şüpheyle yaklaşın, 'bilinmeyen kaynaklardan yükleme' iznini vermeyin ve net bir nedeni olmayan uygulamalara Erişilebilirlik, varsayılan SMS yöneticisi veya pil muafiyeti gibi izinleri tanımayın. Yüklendikten sonra simgesini gizleyen uygulamalara dikkat edin. Kurumsal cihazlarda, yandan yüklemeyi engellemek ve Erişilebilirlik veya varsayılan SMS isteyen uygulamaları işaretlemek için merkezi politikalar uygulanabilir. Araştırmacılar, kötü amaçlı yazılımı tespit etmek için göstergeler de yayınladı. Kit, yeniden markalanabildiği ve hedefler panel üzerinden değiştirilebildiği için aynı kod farklı isimlerle ortaya çıkabiliyor; bu nedenle takip için davranış sinyallerine odaklanmak gerekiyor.