RedWing Android Casus Yazılımı Telegram'da Hizmet Olarak Satılıyor: Banka Bilgilerinizi Çalabilir Siber Güvenlik

RedWing Android Casus Yazılımı Telegram'da Hizmet Olarak Satılıyor: Banka Bilgilerinizi Çalabilir

Telegram üzerinden kiralanan RedWing Android casus yazılımı, sahte arayüzlerle banka kimlik bilgilerini çalıyor ve SMS'leri ele geçiriyor.

Siber güvenlik araştırmacıları, Telegram üzerinden suçlulara kiralanan yeni bir Android casus yazılımı keşfetti. Zimperium'un zLabs birimi tarafından RedWing olarak adlandırılan bu kötü amaçlı yazılım, düşük becerili saldırganların bile telefonları ele geçirmesine ve banka kimlik bilgilerini çalmasına olanak tanıyor. Araştırmacılar, RedWing'i 'kötü amaçlı yazılım-hizmet-olarak (MaaS)' bir operasyon olarak tanımlayarak, satıcı dokümantasyonu, eğitim videoları ve abonelik modeli sunduğunu belirtti. Firmaya göre RedWing, Rus tehdit aktörleriyle bağlantılı ve birçok örneği geleneksel güvenlik araçlarını atlatıyor.

RedWing'i farklı kılan en önemli özellik, satın almanın ve dağıtmanın son derece kolay olması. Bir Telegram botu, müşteri için kötü amaçlı APK'yı oluşturup gizlerken, bir referans programı yazılımı daha da yaygınlaştırmak için indirimler sunuyor. Operatörler ayrıca Google Play, Galaxy Store, AppGallery veya Rusya'nın RuStore'unu taklit eden sahte uygulama mağazası sayfaları oluşturabiliyor. Bu sayfalar, kurbanları yazılımı yüklemeye çekmek için sahte derecelendirmeler ve indirme sayıları içeriyor.

Kurulumdan sonra RedWing, kurbanı rutin kurulum gibi görünen bir dizi izin istemiyle yönlendiriyor ve Android'in erişilebilirlik hizmeti ile SMS kutusu kontrolü de dahil olmak üzere ihtiyaç duyduğu erişimi vermeye ikna ediyor. Bu noktadan sonra kendi simgesini gizleyip arka planda sessizce çalışabiliyor. RedWing'in temel hilesi, sahte arayüzler (overlay) aracılığıyla kimlik bilgilerini toplamak. Hedeflenen bir banka veya kripto para uygulaması açıldığında, kullanıcı bilgilerini çalmak için üstte inandırıcı bir giriş ekranı beliriyor. Operatörler kontrol panelinden yeni hedefler ekleyebiliyor.

Gelecekte Ne Bekleniyor?

Çift faktörlü kimlik doğrulamayı (2FA) aşmak için RedWing, SMS kodlarını ele geçiriyor ve gelen aramaları sessizce saldırganın numarasına yönlendirerek bankaların dolandırıcılık kontrolü için kullandığı onay aramalarını atlatıyor. Ayrıca canlı VNC ekran kontrolü, tuş kaydı ve kamera ile mikrofondan gizli kayıt yapabiliyor. Enfekte telefonlar DDoS saldırıları için botnet'e dahil edilebiliyor. Zimperium, RedWing'in paylaşılan dropper ve overlay'ler nedeniyle Oblivion adlı bir Android kötü amaçlı yazılım ailesinin yeni bir varyantı olduğunu belirtti.

Sistem Güvenliği

RedWing'in hedeflediği 82 kurum arasında çoğunlukla Rus finans firmaları bulunuyor. Ancak bu tür MaaS operasyonları, coğrafi kısıtlamaları aşarak küresel tehdit haline gelebilir. Kullanıcıların resmi uygulama mağazaları dışındaki kaynaklardan uygulama yüklemekten kaçınmaları, uygulama izinlerini dikkatle incelemeleri ve güvenilir bir mobil güvenlik çözümü kullanmaları öneriliyor. Ayrıca, beklenmedik SMS veya arama yönlendirmelerine karşı dikkatli olunmalı.

Sonuç ve Değerlendirme

Bu tür tehditlerin artmasıyla birlikte, mobil cihaz güvenliği her zamankinden daha önemli hale geliyor. Kullanıcıların iki faktörlü kimlik doğrulama için SMS yerine uygulama tabanlı doğrulayıcıları tercih etmeleri, şüpheli bağlantılara tıklamamaları ve cihazlarını güncel tutmaları önerilir. Kurumsal kullanıcılar ise mobil cihaz yönetimi (MDM) çözümleri ve ağ güvenliği politikaları ile bu tür saldırılara karşı korunabilir.

Kaynak: infosecurity-magazine.com

Paylaş: