RedWing: Telegram'da Kiralanan Yeni Android Casus Yazılımı Banka Hesaplarını Tehdit Ediyor Windows

RedWing: Telegram'da Kiralanan Yeni Android Casus Yazılımı Banka Hesaplarını Tehdit Ediyor

Yeni bir Android casus yazılımı olan RedWing, Telegram üzerinden kiralanarak düşük becerili saldırganların bile banka kimlik bilgilerini çalmasına ola

Siber güvenlik araştırmacıları, Telegram üzerinden suçlulara kiralanan yeni bir Android casus yazılımı türü keşfetti. Zimperium'un zLabs birimi tarafından RedWing olarak adlandırılan bu kötü amaçlı yazılım, düşük beceri seviyesindeki saldırganların bile telefonları ele geçirmesine ve bankacılık kimlik bilgilerini çalmasına olanak tanıyor. RedWing, 'kötü amaçlı yazılım olarak hizmet' (MaaS) modeliyle çalışan, satıcı dokümantasyonu, eğitim videoları ve abonelik sistemi sunan profesyonel bir operasyon olarak tanımlanıyor.

Araştırmacılar, RedWing'i Rus tehdit aktörleriyle ilişkilendiriyor ve birçok örneğin geleneksel güvenlik araçlarını atlatmayı başardığını belirtiyor. RedWing'i diğerlerinden ayıran en önemli özellik, satın almanın ve dağıtmanın ne kadar kolay olduğu. Bir Telegram botu, müşteri için kötü amaçlı APK dosyasını oluşturup gizlerken, bir yönlendirme programı sayesinde yazılımın daha da yayılması için indirimler sunuluyor.

Operatörler, Google Play, Galaxy Store, AppGallery veya Rusya'nın RuStore'u taklit eden sahte uygulama mağazası sayfaları oluşturabiliyor. Bu sayfalarda sahte puanlar ve indirme sayıları yer alarak kurbanların yazılımı yüklemesi sağlanıyor. RedWing, kurbanı rutin bir kurulum gibi görünen bir dizi izin istemiyle karşılıyor ve Android'in erişilebilirlik hizmeti ile SMS kutusu kontrolü de dahil olmak üzere ihtiyaç duyduğu izinleri vermeye ikna ediyor. Ardından kendi simgesini gizleyip arka planda sessizce çalışabiliyor.

RedWing'in temel hilesi, sahte ekran katmanları (overlay) aracılığıyla kimlik bilgilerini toplamak. Kurban hedeflenen bir bankacılık veya kripto para uygulamasını açtığında, üstüne ikna edici bir giriş ekranı yerleştirilerek kullanıcı bilgileri çalınıyor. Operatörler kontrol panelinden yeni hedefler ekleyebiliyor. zLabs, çoğu Rus finans kurumu olmak üzere 82 hedeflenen kurum tespit etti.

İki faktörlü kimlik doğrulamayı (2FA) aşmak için RedWing, SMS kodlarını ele geçiriyor ve kullanıcının gelen aramalarını sessizce saldırganın numarasına yönlendirerek bankaların dolandırıcılık kontrolü için yaptığı doğrulama aramalarını atlıyor. Ayrıca canlı VNC ekran kontrolü, tuş kaydı ve kamera ile mikrofondan gizli kayıt yapabiliyor. Enfekte telefonlar, hizmet reddi (DDoS) saldırıları için bir botnet haline getirilebiliyor.

Zimperium, RedWing'in paylaşılan damlalıklar ve ekran katmanları nedeniyle daha önce bilinen Oblivion adlı bir Android kötü amaçlı yazılım ailesinin yeni bir varyantı olduğunu belirtiyor. Kullanıcıların, resmi olmayan kaynaklardan uygulama yüklememeleri ve istenmeyen izin taleplerine karşı dikkatli olmaları öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: