RedWing adlı yeni bir Android kötü amaçlı yazılım operasyonu, hazır bir banka dolandırıcılığı hizmeti olarak Telegram'da kiralanıyor. Düşük vasıflı suçluların bile kurbanın telefonunu ele geçirmesine, banka giriş bilgilerini çalmasına ve hesaplarını koruyan tek kullanımlık kodları ele geçirmesine olanak tanıyor.
Operasyonu bulan Zimperium'un zLabs'ı, bu yılın başlarında belgelenen, ayda 300 dolarlık bir kötü amaçlı yazılım kiralama aracı olan Oblivion'un yeni bir versiyonuna benzediğini söylüyor.
RedWing, yönlendirme indirimleri, kılavuzlar ve nasıl yapılır videoları içeren abonelik katmanları halinde eksiksiz bir ürün olarak satılmaktadır, dolayısıyla alıcının kötü amaçlı yazılım yazma becerisine ihtiyacı yoktur. Bir Telegram botu, her alıcıya talep üzerine özel bir uygulama oluşturur.
Araştırmacılar, ortaya çıkan damlalıkların ve yüklerin önemli bir kısmının şu anda geleneksel güvenlik araçlarından kaçtığını söylüyor.
Enfeksiyon, sahte bir uygulama mağazası sayfasını açan bir kimlik avı bağlantısıyla başlar. Kitin damlalık oluşturucusu Google Play, Galaxy Store ve AppGallery'yi taklit edebilir veya sahte derecelendirmeler, incelemeler ve indirme sayılarıyla tamamlanan tamamen özel sayfalar oluşturabilir. Sayfa daha sonra kullanıcıyı uygulamayı resmi mağazanın dışından yüklemeye ve izinlerini onaylamaya ikna eder.
Teknik Analiz
Uygulama, izin isteklerini her seferinde bir ekranda görüntüler. Zararsız görünen bir web sayfası arka planda dururken açılır kartlar rutin olarak çerçevelenmiş izinler ister: Pil sınırlarını kapatın, uygulamayı varsayılan metin mesajı işleyicisi olarak ayarlayın ve bildirimleri açın.
Ayrıca, kötü amaçlı yazılımların ekranı okumak ve telefonu kontrol etmek için kötüye kullandığı Android'in Erişilebilirlik hizmetinin de açılmasını istiyor.
Detaylar ve Etkileri
Bu izinlerle RedWing, telefon üzerinde geniş bir kontrole sahip oluyor. Yetenekleri şunları içerir:
Şifreleri çalmak için gerçek bankacılık ve kripto para uygulamalarının üzerinde görünen, kaplama adı verilen sahte giriş ekranları.
Tek kullanımlık şifreler için gelen metinleri okuma ve kodları, kart numaralarını ve PIN'leri göründükleri anda ekrandan kaldırmak için Erişilebilirlik'i kullanma.
Arama yönlendirmeyi açmak için gizli bir operatör kodu (*21*) kullanarak kurbanın gelen aramalarını sessizce saldırgana aktarır; bu, telefon tabanlı doğrulamayı ve banka sahtekarlık kontrolü çağrılarını devre dışı bırakır.
Önemli Gelişmeler
Canlı ekran akışı ve keylogger sayesinde operatörler telefonu gerçek zamanlı olarak izleyebilir ve kontrol edebilir.
Kamerayı ve mikrofonu açmak, dosyaları okumak, kişileri ve çağrı kayıtlarını çalmak ve konumu takip etmek.
Uzmanların Görüşleri
Hedef web sitesini trafikle doldurmak için virüslü telefonların bir havuzda toplanması, hizmet reddi saldırısı.
Alıcılar kendi hedeflerini seçiyor ve kötü amaçlı yazılım, hedeflemesini ikiye bölüyor. Erişilebilirlik aracılığıyla izlediği uygulamalar her kopyaya ekleniyor; bu da, alıcı hedefleri seçtikten sonra sipariş vermek üzere yeni bir uygulamanın oluşturulduğuna işaret ediyor. Bunun aksine, yer paylaşımı hedefleri daha sonra yeni bir uygulamaya gerek kalmadan kontrol panelinden değiştirilebilir.
Gelecekte Ne Bekleniyor?
Zimperium, Rus finans şirketlerine güçlü bir şekilde odaklanarak çeşitli sektörlerden 82 hedef kurumu saydı, ancak bu liste her an değişebilir. Kanıtlar Rusya pazarını işaret ediyor: Örneklerden birinde Rusya'nın RuStore'u için sahte bir sayfa kullanılmış. Uzmanlar, operasyonun Rus tehdit aktörleriyle bağlantılı göründüğünü ancak bunu doğrulamaktan uzak durduğunu söylüyor.
Sonuç ve Değerlendirme
RedWing, Android suçlarında, saldırganların başka bir yerde kullanmak üzere şifreyi çalmak yerine kurbanın kendi bankacılık oturumunda faaliyet gösterdiği cihaz içi dolandırıcılığa yönelik daha geniş bir adıma uyuyor.
Araştırmacılar geçen yıl Rusya pazarındaki neredeyse aynı kiralık kit olan Fantasy Hub'ı işaretlemişti. Aynı teknikler, 400'den fazla finans uygulamasını hedefleyen Albiriox'ta ve kurbanlar uyurken hesapları boşaltmak için gizli uzaktan kumanda ve sahte kaplamalar kullanan Klopatra'da da ortaya çıktı.
RedWing'in Android istismarına ihtiyacı yok. Yalnızca kullanıcı uygulamayı resmi mağazanın dışından yüklediğinde ve istemleri onayladığında çalışır; dolayısıyla ilk savunma hattı, yükleme sırasında gerçekleşen şeydir. Bireyler için:
Nasıl Önlem Alınmalı?
Uygulamaları yalnızca resmi mağazalardan yükleyin ve bağlantı veya kısa mesaj yoluyla gelen tüm "güncellemeleri" şüpheli olarak değerlendirin.
"Bilinmeyen kaynaklardan yükleme" seçeneğini açmayın ve ihtiyaç duymanız için açık bir neden olmaksızın bir uygulamaya Erişilebilirlik, varsayılan kısa mesaj işleyicisi veya pil muafiyeti erişimi vermeyin.
Sistem Güvenliği
Yüklendikten sonra simgesini gizleyen bir uygulamaya dikkat edin; bu, gözden uzak kalmanın yaygın bir yöntemidir.
Yönetilen cihazlarda aynı seçenekler merkezi olarak uygulanabilir: yandan yüklemeyi engelleme ve Erişilebilirlik veya varsayılan SMS rolünü isteyen uygulamaları işaretleme.
Araştırmacılar ayrıca bunun peşine düşmek isteyen ekipler için uzlaşma göstergeleri de yayınladılar. Kitin görünümü yeniden düzenlenebildiğinden ve kaplama hedefleri bir panelden değiştirilebildiğinden, aynı kod yeni adlar altında yeniden ortaya çıkmaya devam edebilir; dolayısıyla uygulama adları onu takip etmenin kötü yolu. Davranış sinyaldir, isim değil.