Telegram'da Kiralık Android Casus Yazılımı RedWing: Herkes Banka Hesabınıza Ulaşabilir Yazılım

Telegram'da Kiralık Android Casus Yazılımı RedWing: Herkes Banka Hesabınıza Ulaşabilir

RedWing, Telegram üzerinden kiralanan bir Android casus yazılımı. Sahte uygulama mağazaları ve izin tuzağıyla banka bilgilerinizi çalıyor.

Zimperium güvenlik araştırmacıları, Telegram üzerinde kiralık olarak sunulan ve Oblivion kötü amaçlı yazılım ailesiyle bağlantılı olduğu düşünülen RedWing adlı bir Android casus yazılımını keşfetti. Bu yazılım, kullanıcıların hiçbir kodlama bilgisi olmadan profesyonel düzeyde casusluk yapmasına olanak tanıyor. RedWing, bir abonelik modeliyle çalışıyor ve müşterilerine dokümantasyon, eğitim videoları, referans indirim programı ve isteğe bağlı kötü amaçlı uygulamalar üreten bir bot sunuyor. Zimperium'a göre, bu yazılım sıradan bir çevrimiçi malware'den çok daha fazlası: ticari sınıf bir Malware-as-a-Service (MaaS) ürünü. Düşük giriş engeli sayesinde acemi saldırganlar bile kolayca kullanabiliyor.

RedWing'in bulaşma süreci, bir kimlik avı bağlantısıyla başlıyor. Kullanıcı bu bağlantıya tıkladığında, sahte bir uygulama mağazası sayfası açılıyor. Bu sayfa, Google Play, Samsung Galaxy Store veya Huawei'nin AppGallery'sini taklit ediyor ve sahte puanlar, yorumlar ve indirme sayıları içeriyor. Hedef, kullanıcıyı kötü amaçlı uygulamayı yüklemeye ikna etmek. Uygulama yüklendikten sonra, kullanıcıya adım adım izin ekranları gösteriliyor. İlk olarak pil optimizasyonunu devre dışı bırakması isteniyor, ardından uygulamanın varsayılan SMS yöneticisi olarak ayarlanması ve bildirimlere erişim izni verilmesi talep ediliyor. Tüm bu adımlar, rutin kurulum adımları olarak sunuluyor. Ancak aslında her biri, yazılımın cihaza derinlemesine sızmasını sağlıyor.

RedWing, bu izinler sayesinde cihaz üzerinde geniş bir kontrol elde ediyor. Gerçek bankacılık ve kripto para uygulamalarının üzerine sahte giriş ekranları yerleştirerek kullanıcı adı ve şifreleri çalıyor. Gelen SMS'leri okuyarak tek kullanımlık şifreleri (OTP) ele geçiriyor. Android'in Erişilebilirlik Hizmeti'ni (Accessibility Service) kullanarak ekranda görünen PIN kodlarını, kart numaralarını ve CVV değerlerini doğrudan okuyabiliyor. Ayrıca, *21* kodunu kullanarak tüm gelen aramaları saldırganın kontrolündeki bir numaraya yönlendiriyor. Bu sayede telefon tabanlı iki faktörlü kimlik doğrulama ve banka dolandırıcılık önleme aramaları devre dışı bırakılıyor.

Zimperium araştırmacıları, RedWing'in gözetleme yeteneklerinin bununla sınırlı olmadığını belirtiyor. Yazılım, uzaktan etkinleştirilebilen kamera ve mikrofon erişimi sayesinde kullanıcının görüntü ve ses kaydını yapabiliyor. Saldırgan, sunucudan gönderdiği komutlarla fotoğraf çekme veya ses kaydı başlatma gibi işlemleri gerçekleştirebiliyor. Ayrıca, VNC üzerinden canlı ekran akışı, gerçek zamanlı keylogger, cihazdaki tüm dosyalara erişim, kişi listeleri, arama kayıtları ve konum takibi gibi özellikler de mevcut. Tüm bu veriler, saldırganın kontrol panelinde toplanıyor.

RedWing'in hedefleme mimarisi oldukça akıllıca tasarlanmış. Erişilebilirlik Hizmeti üzerinden izlenen uygulamalar, her derlenmiş kopyaya gömülü olarak geliyor. Bu, her müşteri hedeflerini belirttiğinde sunucu tarafında yeni bir APK oluşturulduğunu gösteriyor. Buna karşılık, ekran kaplama (overlay) hedefleri kontrol panelinden anında güncellenebiliyor ve yeni bir uygulama dağıtımı gerektirmiyor. Zimperium, 82 farklı kurumu hedef alan örnekler tespit etti. Bunların büyük çoğunluğu Rus finans firmaları olsa da, hedef listesi her an değişebiliyor. Bir örnekte, sahte bir RuStore sayfası kullanıldığı görülmüş.

RedWing, herhangi bir Android güvenlik açığına ihtiyaç duymuyor. Tamamen kullanıcının resmi olmayan bir kaynaktan uygulama yüklemesine ve izinleri onaylamasına dayanıyor. Bu nedenle en önemli savunma, kullanıcı davranışları. Mesaj veya uygulama içi bağlantılardan gelen uygulamaları yüklememek, Erişilebilirlik veya varsayılan SMS yöneticisi iznini şüpheli uygulamalara vermemek ve yüklendikten sonra simgesini gizleyen uygulamalardan kaçınmak gerekiyor. Kurumsal cihazlarda, yandan yükleme (sideloading) merkezi olarak engellenebilir ve şüpheli izin talepleri otomatik olarak işaretlenebilir.

RedWing ayrıca enfekte Android cihazları koordineli DDoS saldırıları başlatabilen bir botnet'e dönüştürebiliyor. Kontrol paneli aracılığıyla saldırganlar, birden fazla cihaza aynı anda komut göndererek bir hedef web sitesine veya sunucuya trafik akışı sağlayabiliyor. Bu, casusluk ve veri hırsızlığının ötesinde ek bir yetenek sunuyor. Uygulamanın adı sık sık değişebildiği için, güvenlik için davranışları izlemek daha önemli hale geliyor.

Sonuç ve Değerlendirme

Zimperium raporuna göre, RedWing gibi MaaS operasyonlarının hızla yükselişi, saldırganların meşru Android bileşenlerini ne kadar kolay silah haline getirebildiğini gösteriyor. Eski bankacılık truva atları yalnızca ekran kaplamalarına güvenirken, RedWing özel dropper'lar, canlı ekran akışı, SMS yöneticisi rolünün kötüye kullanımı ve Erişilebilirlik Hizmeti gibi özellikleri entegre ediyor. Bu sosyal mühendislik ve gelen aramaları ele geçirme karışımı, özellikle BYOD (Kendi Cihazını Getir) ortamlarında ve tüketici odaklı ortamlarda büyük bir tehlike oluşturuyor. Kullanıcıların ve kurumların bu tür tehditlere karşı bilinçli olması ve gerekli önlemleri alması hayati önem taşıyor.

Kaynak: securityaffairs.com

Paylaş: