Zimperium’un zLabs araştırma ekibi, Android cihazları hedef alan yeni bir casus yazılım türü olan RedWing’i ortaya çıkardı. Bu kötü amaçlı yazılım, Telegram üzerinden kiralık olarak sunuluyor ve düşük teknik beceriye sahip saldırganların bile akıllı telefonları ele geçirip bankacılık kimlik bilgilerini çalmasına olanak tanıyor. RedWing, ‘kötü amaçlı yazılım olarak hizmet’ (MaaS) modeliyle çalışıyor ve satıcı tarafından sağlanan dokümantasyon, eğitim videoları ve abonelik sistemi ile oldukça profesyonel bir yapı sergiliyor. Araştırmacılar, bu yazılımı Rus tehdit aktörleriyle ilişkilendirirken, birçok örneğin geleneksel güvenlik araçlarını atlatmayı başardığını belirtiyor.
RedWing’i diğerlerinden ayıran en önemli özellik, satın alma ve dağıtım kolaylığı. Bir Telegram botu, müşteri için kötü amaçlı APK’yı otomatik olarak oluşturup gizlerken, bir referans sistemi sayesinde yazılımı daha fazla kişiye yaydıkça indirim kazanılabiliyor. Operatörler ayrıca Google Play, Galaxy Store, AppGallery veya Rusya’nın RuStore’unu taklit eden sahte uygulama mağazası sayfaları oluşturabiliyor. Bu sayfalar, sahte derecelendirme ve indirme sayılarıyla kurbanları kandırarak uygulamayı yüklemeye ikna ediyor.
Kurulumdan sonra RedWing, kurbanı rutin bir kurulum gibi görünen bir dizi izin ekranından geçiriyor. Kullanıcıdan Android erişilebilirlik hizmeti ve SMS kutusu kontrolü gibi kritik izinleri vermesi isteniyor. İzinler verildikten sonra yazılım kendi simgesini gizleyip arka planda sessizce çalışmaya başlıyor. Bu sayede kullanıcı farkına varmadan tüm aktiviteleri izlenebiliyor.
Sistem Güvenliği
RedWing’in temel hilesi, sahte ekran bindirmeleri (overlay) aracılığıyla kimlik avı yapmak. Kurban hedeflenen bir bankacılık veya kripto para uygulamasını açtığında, uygulamanın üzerine gerçekçi bir giriş ekranı yerleştirilerek kullanıcı adı ve şifre gibi bilgiler çalınıyor. Operatörler kontrol panelinden yeni hedef uygulamalar ekleyebiliyor. zLabs, çoğu Rus finans kurumu olmak üzere 82 hedef kurum tespit etti.
İki faktörlü kimlik doğrulamayı (2FA) aşmak için RedWing, SMS kodlarını yakalıyor ve gelen aramaları sessizce saldırganın numarasına yönlendirebiliyor. Bu sayede bankaların dolandırıcılık kontrolü için yaptığı onay aramaları da etkisiz hale getiriliyor. Ayrıca canlı VNC ekran kontrolü, tuş kaydı ve kamera/mikrofon üzerinden gizli kayıt gibi özellikler de sunuyor. Enfekte olan telefonlar, hepsi bir arada botnet haline getirilerek DDoS saldırılarında da kullanılabiliyor.
Sonuç ve Değerlendirme
Zimperium araştırmacıları, RedWing’in daha önce bilinen Oblivion adlı Android kötü amaçlı yazılım ailesinin yeni bir varyantı olduğunu düşünüyor. Ortak dropper ve overlay yapıları bu bağlantıyı güçlendiriyor. Bu tehdit karşı korunmak için kullanıcıların, resmi olmayan kaynaklardan uygulama yüklememesi, gereksiz izinlerden kaçınması ve güvenilir bir mobil güvenlik çözümü kullanması öneriliyor.
Kaynak: infosecurity-magazine.com