Telegram'da Kiralık Android Casus Yazılımı: RedWing Bankacılık Truva Atı Siber Güvenlik

Telegram'da Kiralık Android Casus Yazılımı: RedWing Bankacılık Truva Atı

Telegram üzerinden abonelikle sunulan RedWing, Android cihazları ele geçirerek bankacılık bilgileri çalıyor, kamera ve mikrofona erişiyor.

Siber güvenlik dünyası, Telegram üzerinden kiralanan yeni bir Android casus yazılımıyla sarsıldı. Zimperium zLabs ekibinin keşfettiği RedWing, bankacılık truva atı olarak sınıflandırılıyor ve Rus bağlantılı tehdit aktörleri tarafından yönetiliyor. Oblivion ailesinden türediği düşünülen bu kötü amaçlı yazılım, Malware-as-a-Service (MaaS) modeliyle çalışıyor ve kullanıcıların teknik bilgi gerektirmeden casusluk yapmasına olanak tanıyor. Abonelik sistemiyle sunulan RedWing, dokümantasyon, eğitim videoları ve hatta referans indirim programı gibi profesyonel özellikler barındırıyor.

RedWing'in en dikkat çekici özelliği, Telegram botu aracılığıyla isteğe bağlı özelleştirilmiş APK'lar oluşturması. Zimperium raporuna göre, "APK özelleştirme, karartma ve oluşturma tamamen Telegram üzerinden gerçekleştirilebiliyor." Bu sayede acemi saldırganlar bile saniyeler içinde hedef odaklı bir casus yazılım elde edebiliyor. Enfeksiyon süreci, sahte bir uygulama mağazası sayfasına yönlendiren bir phishing bağlantısıyla başlıyor. RedWing, Google Play, Samsung Galaxy Store ve Huawei AppGallery benzeri arayüzler oluşturabiliyor ve sahte puan, yorum ile indirme sayıları göstererek güven kazanıyor.

Kurulum sonrası RedWing, kullanıcıyı adım adım izin vermeye yönlendiriyor. Önce pil optimizasyonunu devre dışı bırakması, ardından varsayılan SMS uygulaması yapması ve bildirimlere erişim izni vermesi isteniyor. Bu izinler, arka planda kesintisiz çalışmayı, iki faktörlü kimlik doğrulama (2FA) kodlarını ele geçirmeyi ve bildirimleri okumayı sağlıyor. Zimperium raporunda, "Özel olarak hazırlanmış sosyal mühendislik tuzaklarıyla kullanıcı kritik sistem izinleri vermeye ikna ediliyor" deniliyor.

RedWing'in yetenekleri bununla sınırlı değil. Android Accessibility Service'i kullanarak ekrandaki PIN, kart numarası ve CVV gibi hassas verileri anlık olarak okuyabiliyor. Ayrıca, *21* koduyla gizlice çağrı yönlendirmeyi etkinleştirerek tüm gelen aramaları saldırganın kontrolündeki bir numaraya yönlendiriyor. Bu yöntem, telefon tabanlı 2FA'yı ve banka dolandırıcılık önleme aramalarını devre dışı bırakıyor. Saldırganlar ayrıca uzaktan kamera ve mikrofonu etkinleştirerek ortamı dinleyebiliyor veya fotoğraf çekebiliyor.

Uzmanların Görüşleri

RedWing, VNC üzerinden canlı ekran akışı, gerçek zamanlı keylogger, dosyalara, rehbere, arama kayıtlarına erişim ve konum takibi gibi gelişmiş casusluk özellikleri sunuyor. Zimperium, 82 farklı kurumu hedef alan RedWing'in ağırlıklı olarak Rus finans firmalarına odaklandığını tespit etti. Hedef listesinin kontrol panelinden anlık güncellenebilmesi, tehdidin dinamik yapısını gösteriyor. Ayrıca, virüs bulaşmış cihazlar bir botnet haline getirilerek DDoS saldırılarında kullanılabiliyor.

RedWing, herhangi bir Android güvenlik açığına ihtiyaç duymuyor; tamamen kullanıcının resmi olmayan bir kaynaktan uygulama yüklemesine ve izin vermesine dayanıyor. Korunmak için, mesajlaşma uygulamalarından gelen bağlantılarla uygulama yüklememek, gereksiz yere Accessibility veya varsayılan SMS izni vermemek ve kurulum sonrası simgesi gizlenen uygulamalara şüpheyle yaklaşmak gerekiyor. Kurumsal cihazlarda sideload'ın engellenmesi ve şüpheli izin taleplerinin otomatik işaretlenmesi etkili önlemler arasında.

Zimperium raporu, RedWing'in MaaS modelinin yükselişine dikkat çekiyor: "RedWing gibi MaaS operasyonlarının hızlı yükselişi, saldırganların meşru Android bileşenlerini nasıl kolayca silah haline getirebildiğini gösteriyor." Eski bankacılık truva atlarından farklı olarak RedWing, özel dropper'lar, canlı ekran akışı ve SMS yöneticisi rolünü kötüye kullanarak veri sızdırıyor ve gerçek zamanlı kimlik avı yapıyor. Bu derin sistem kontrolü, BYOD ve tüketici ortamlarında büyük risk oluşturuyor.

Kaynak: securityaffairs.com

Paylaş: