RedWing Android Casusu: Telegram Üzerinden Kiralanan Yeni Tehdit Siber Güvenlik

RedWing Android Casusu: Telegram Üzerinden Kiralanan Yeni Tehdit

RedWing adlı yeni bir Android casus yazılımı, Telegram üzerinden kiralanarak düşük becerili saldırganların bile telefonları ele geçirmesine ve bankacı

Araştırmacılar, Telegram üzerinden suçlulara kiralanan yeni bir Android casus yazılımı türü keşfetti. Zimperium'un zLabs birimi tarafından RedWing olarak adlandırılan bu yazılım, düşük becerili saldırganların bile telefonları ele geçirmesine ve bankacılık kimlik bilgilerini çalmasına olanak tanıyan, kötü amaçlı yazılım-hizmet (MaaS) operasyonu olarak tanımlandı. Satıcı belgeleri, eğitim videoları ve abonelik modeliyle profesyonel bir yapıya sahip olan RedWing'in, Rus tehdit aktörleriyle bağlantılı olduğu ve örneklerinin çoğunun geleneksel güvenlik araçlarından kaçabildiği belirtildi.

RedWing'i diğerlerinden ayıran en önemli özellik, satın almanın ve dağıtmanın ne kadar kolay olduğuydu. Bir Telegram botu, müşteri için kötü amaçlı APK dosyasını oluşturup gizlerken, bir yönlendirme programı da yazılımı daha fazla yaymak için indirimler sunuyordu. Operatörler ayrıca Google Play, Galaxy Store, AppGallery veya Rusya'nın RuStore'unu taklit eden sahte uygulama mağazası sayfaları oluşturabiliyor, kurbanları uygulamayı yüklemeye çekmek için sahte derecelendirmeler ve indirme sayıları ekleyebiliyordu.

RedWing kurulduktan sonra, kurbanı rutin kurulum gibi görünen bir dizi izin istemiyle yönlendiriyor ve ihtiyaç duyduğu erişimi vermeye ikna ediyordu. Bu izinler arasında Android'in erişilebilirlik hizmeti ve SMS kutusunun kontrolü de yer alıyordu. Ardından kendi simgesini gizleyip arka planda sessizce çalışabiliyordu. RedWing'in temel hilesi, sahte ekran görüntüleri aracılığıyla kimlik bilgilerini toplamaktı. Bir kurban hedeflenen bir bankacılık veya kripto para uygulamasını açtığında, uygulamanın üzerine ikna edici bir giriş ekranı yerleştirerek bilgilerini çalıyordu.

Nasıl Önlem Alınmalı?

İki faktörlü kimlik doğrulamayı (2FA) aşmak için RedWing, SMS kodlarını yakalayabiliyor ve kurbanın gelen aramalarını sessizce saldırganın numarasına yönlendirerek bankaların dolandırıcılık kontrolü için kullandığı onay aramalarını devre dışı bırakabiliyordu. Ayrıca canlı VNC ekran kontrolü, tuş kaydı ve kamera ile mikrofondan gizli kayıt yapabiliyordu. Enfekte olan telefonlar, hizmet reddi (DDoS) saldırıları için bir botnet'te birleştirilebiliyordu. Zimperium, RedWing'in, paylaşılan dropper'lar ve ekran görüntüleri temel alınarak Oblivion adlı bir Android kötü amaçlı yazılım ailesinin yeni bir varyantı olduğunu belirtti.

RedWing'in hedef aldığı 82 kurum arasında çoğunlukla Rus finans firmaları yer alıyor. Ancak bu tür bir MaaS modeli, coğrafi kısıtlamaların kolayca aşılabileceğini ve tehdidin küresel hale gelebileceğini gösteriyor. Kullanıcıların, güvenilmeyen kaynaklardan uygulama yüklememeleri, izinleri dikkatlice incelemeleri ve güvenlik yazılımlarını güncel tutmaları önem taşıyor.

Teknik Analiz

Bu casus yazılım, siber suçluların giderek daha profesyonel ve erişilebilir araçlar kullandığını gösteriyor. Telegram gibi platformlar, suçluların birbirleriyle iletişim kurmasını ve hizmet alışverişinde bulunmasını kolaylaştırırken, kullanıcıların da daha dikkatli olması gerekiyor. Güvenlik araştırmacıları, RedWing'in gelişmeye devam ettiğini ve yeni özellikler eklenebileceğini belirtiyor.

Kaynak: infosecurity-magazine.com

Paylaş: