Siber güvenlik araştırmacıları, RedWing adında yeni bir Android kötü amaçlı yazılım operasyonunu ortaya çıkardı. Bu yazılım, Telegram üzerinden hazır bir banka dolandırıcılığı hizmeti olarak kiralanıyor. Zimperium'un zLabs ekibi tarafından keşfedilen RedWing, düşük becerili suçluların bile kurbanların telefonlarını ele geçirmesine, banka giriş bilgilerini çalmasına ve hesapları koruyan tek kullanımlık kodları ele geçirmesine olanak tanıyor.
RedWing, aylık 300 dolara kiralanan Oblivion adlı kötü amaçlı yazılımın yeni bir varyantı olarak değerlendiriliyor. Abonelik katmanları, referans indirimleri, kılavuzlar ve nasıl yapılır videoları ile tam bir ürün olarak satılıyor. Alıcıların herhangi bir kötü amaçlı yazılım yazma becerisine ihtiyacı yok; bir Telegram botu, her alıcı için talep üzerine özel bir uygulama oluşturuyor. Araştırmacılar, ortaya çıkan dropper ve payload'ların önemli bir kısmının mevcut güvenlik araçlarından kaçtığını belirtiyor.
Enfeksiyon, sahte bir uygulama mağazası sayfasına yönlendiren bir kimlik avı bağlantısıyla başlıyor. Kit'in dropper oluşturucusu, Google Play, Galaxy Store ve AppGallery'yi taklit edebiliyor veya tamamen özel sayfalar oluşturabiliyor. Sayfa, kullanıcıyı uygulamayı resmi mağaza dışından yüklemeye ve izinleri onaylamaya ikna ediyor. Uygulama, izin taleplerini her seferinde bir ekran olarak aşamalı hale getiriyor. Zararsız görünen bir web sayfası arka planda çalışırken, açılır kartlar pil sınırlamalarını kapatma, uygulamayı varsayılan mesajlaşma uygulaması yapma ve bildirimleri açma gibi rutin izinler talep ediyor. Ayrıca Android'in Erişilebilirlik hizmetini etkinleştirmeyi istiyor; bu hizmet, kötü amaçlı yazılımların ekranı okumak ve telefonu kontrol etmek için kullandığı bir özellik.
RedWing, bu izinlerle telefon üzerinde geniş bir kontrole sahip oluyor. Yetenekleri arasında banka ve kripto para uygulamalarının üzerine açılan sahte giriş ekranları (overlay) ile şifre çalma, gelen SMS'lerden tek kullanımlık şifreleri okuma, Erişilebilirlik ile ekrandaki kodları, kart numaralarını ve PIN'leri toplama, gizlice arama yönlendirme (*21*) ile telefon tabanlı doğrulamayı devre dışı bırakma, canlı ekran yayını ve keylogger ile operatörlerin telefonu gerçek zamanlı izlemesine olanak tanıma, kamera ve mikrofonu açma, dosyaları okuma, kişileri ve arama kayıtlarını çalma, konum takibi yapma ve enfekte telefonları bir hedef web sitesine saldırı için kullanma (DDoS) yer alıyor. Zimperium, 82 hedef kurum tespit etti ve bunların çoğunlukla Rus finans firmaları olduğunu belirtti. RedWing, Android'de herhangi bir açıktan yararlanmıyor; yalnızca kullanıcının uygulamayı resmi mağaza dışından yüklemesi ve izinleri onaylaması durumunda çalışıyor. Bu nedenle ilk savunma hattı, kurulum anında yapılan işlemler. Kullanıcıların yalnızca resmi mağazalardan uygulama yüklemesi, bağlantı veya SMS yoluyla gelen 'güncelleme'lerden şüphelenmesi, bilinmeyen kaynaklardan yüklemeyi etkinleştirmemesi ve Erişilebilirlik, varsayılan SMS yöneticisi veya pil muafiyeti gibi izinleri gereksiz yere vermemesi öneriliyor.