Telegram'da Kiralık Casus Yazılım: RedWing ile Android Cihazlar Tehdit Altında Linux

Telegram'da Kiralık Casus Yazılım: RedWing ile Android Cihazlar Tehdit Altında

RedWing, Telegram üzerinden abonelikle satılan ve herkesin kullanabileceği bir Android casus yazılımı. Bankacılık bilgileri çalma, canlı ekran izleme

Zimperium’un zLabs ekibi, Telegram üzerinden abonelik modeliyle satılan yeni bir Android casus yazılımı olan RedWing’i keşfetti. Bu kötü amaçlı yazılım, Rus tehdit aktörleriyle bağlantılı ve Oblivion kötü amaçlı yazılım ailesinin bir türevi olarak görülüyor. RedWing, kullanıcıların hiçbir kodlama bilgisi olmadan kendi özel kötü amaçlı uygulamalarını oluşturmalarına olanak tanıyan bir bot, dokümantasyon, eğitim videoları ve referans indirim programı ile birlikte geliyor.

Zimperium raporuna göre, RedWing sıradan bir çevrimiçi satılan kötü amaçlı yazılımdan çok daha fazlası. Tamamen gelişmiş, ticari kalitede bir Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) ürünü. Satıcı tarafından sağlanan dokümantasyon, videolar ve bot tabanlı abonelik modeli, acemi saldırganlar için düşük bir giriş engeli oluşturuyor. APK özelleştirme, gizleme ve oluşturma işlemleri tamamen Telegram üzerinden gerçekleştirilebiliyor.

Enfeksiyon süreci, bir kimlik avı bağlantısıyla başlıyor. Bu bağlantı, sahte bir uygulama mağazası sayfası açıyor. Dropper oluşturucu, Google Play, Samsung Galaxy Store veya Huawei AppGallery’yi taklit edebiliyor ve sahte derecelendirmeler, yorumlar ve indirme sayıları içerebiliyor. Kullanıcı uygulamayı yükledikten sonra, kötü amaçlı yazılım birer birer izin ekranları sunuyor: pil optimizasyonunu devre dışı bırakma, uygulamayı varsayılan SMS işleyicisi yapma ve bildirimlere erişim izni verme gibi adımları rutin kurulum adımları olarak gösteriyor.

RedWing, bu izinleri aldıktan sonra derin sistem erişimi kazanıyor. Gerçek bankacılık ve kripto para uygulamalarının üzerine sahte giriş ekranları yerleştirerek kimlik bilgilerini çalıyor, gelen SMS’leri okuyarak tek kullanımlık şifreleri ele geçiriyor ve Android Erişilebilirlik Hizmeti’ni kullanarak PIN’leri, kart numaralarını ve CVV değerlerini doğrudan ekrandan topluyor. Ayrıca, gizli bir taşıyıcı kodu (*21*) kullanarak sessizce yönlendirmeyi etkinleştiriyor ve tüm gelen aramaları saldırganın kontrolündeki bir numaraya yönlendiriyor. Bu, telefon tabanlı iki faktörlü kimlik doğrulamayı ve banka dolandırıcılık önleme aramalarını devre dışı bırakıyor.

Uzmanların Görüşleri

Araştırmacılar, RedWing’in gözetleme yeteneklerinin daha da ileri gittiğini belirtiyor. Kötü amaçlı yazılım, kurbanın kamerasını ve mikrofonunu uzaktan etkinleştirebiliyor. Örneğin, komutu ile saldırgan uzaktan fotoğraf çekebilirken, komutu MediaRecorder API’sini kullanarak ortam sesini kaydediyor. Ses kaydı süresi tamamen uzak sunucudan yönetilebiliyor. Ayrıca, saldırganlar VNC aracılığıyla canlı ekran akışı, gerçek zamanlı keylogger, cihazdaki tüm dosyalara erişim, kişi listeleri, arama kayıtları ve konum takibi gibi özelliklere sahip.

RedWing’in hedefleme mimarisi, her derlenmiş kopyada hangi uygulamaların izleneceğinin belirlendiğini gösteriyor. Erişilebilirlik aracılığıyla izlenen uygulamalar, her alıcı için sunucu tarafında yeni bir APK oluşturulması anlamına geliyor. Buna karşılık, bindirme hedefleri kontrol panelinden herhangi bir zamanda güncellenebiliyor. Zimperium, çeşitli sektörlerde 82 hedef kurum tespit etti; bunların çoğu Rus finans firmaları. Bir örnekte sahte bir RuStore sayfası kullanılmış. Hedef listesi, operatörün kontrol panelinden anlık olarak değiştirilebiliyor.

RedWing, herhangi bir Android güvenlik açığına ihtiyaç duymuyor. Tamamen kullanıcının resmi olmayan bir mağazadan uygulama yüklemesine ve izin taleplerini onaylamasına dayanıyor. İlk savunma hattı, kurulum anında başlıyor: Mesaj veya mesajlaşma uygulamaları yoluyla gelen bağlantılardan uygulama yüklemeyin, Erişilebilirlik veya varsayılan SMS erişimini net bir nedeni olmayan uygulamalara vermeyin ve kurulumdan sonra simgesini gizleyen uygulamaları kırmızı bayrak olarak değerlendirin. Yönetilen cihazlarda, yandan yükleme merkezi olarak engellenebilir ve şüpheli izin talepleri otomatik olarak işaretlenebilir.

Detaylar ve Etkileri

RedWing ayrıca, enfekte Android cihazları koordineli DDoS saldırıları başlatabilen bir botnet’e dönüştürebiliyor. Kontrol paneli aracılığıyla saldırganlar, birden fazla ele geçirilmiş telefona aynı anda komut vererek bir hedef web sitesine veya sunucuya trafik seli gönderebiliyor. Operatörlerin uygulamayı yeniden markalayabilmesi ve hedeflerini kontrol panelinden değiştirebilmesi nedeniyle, uygulama adı zayıf bir gösterge; davranışı izlemek gerekiyor. Zimperium raporu, RedWing gibi MaaS operasyonlarının yükselişinin, saldırganların meşru Android bileşenlerini nasıl kolayca silah haline getirebildiğini gösterdiğini vurguluyor.

Kaynak: securityaffairs.com

Paylaş: