Foto: Srpskainfo Digitalna Srpska
Bezbjednosni istraživači otkrili su novi Android špijunski malver pod nazivom RedWing, koji se prema navodima kompanije Zimperium iznajmljuje sajber kriminalcima preko Telegrama u modelu „malver kao usluga” (MaaS). Prema istim navodima, iza operacije najvjerovatnije stoje akteri povezani s Rusijom, a veliki broj uzoraka trenutno uspijeva da prođe neprimijećeno pored standardnih bezbjednosnih alata.
RedWing se izdvaja po tome što napadačima nudi automatizovan način upotrebe. Putem Telegram bota mogu da generišu zlonamjerni APK fajl prilagođen svojim potrebama, a operateri nude i sistem preporuka i popusta kako bi podstakli daljnje širenje ovog malvera među kriminalcima. Uz to, dostupna je i izrada lažnih stranica koje imitiraju prodavnice aplikacija poput Google Play prodavnice, Samsung Galaxy Storea, Huawei AppGalleryja i ruskog RuStorea, zajedno s lažnim ocjenama i brojem preuzimanja.
Nakon instalacije, malver korisnika vodi kroz niz zahtjeva za dozvole koji se predstavljaju kao dio uobičajenog procesa podešavanja uređaja. Na taj način dobija pristup Android Accessibility servisu i SMS porukama, nakon čega može da sakrije svoju ikonicu i nastavi da radi u pozadini. Glavna funkcija RedWinga jeste krađa kredencijala putem lažnih ekrana za prijavu: kada korisnik otvori ciljanu bankarsku ili kripto aplikaciju, malver prikazuje lažni prozor za prijavu preko legitimne aplikacije i prikuplja korisničko ime i lozinku.
Istraživači su identifikovali najmanje 82 finansijske institucije koje se nalaze na listi meta. Kako bi zaobišao dvofaktorsku autentifikaciju, RedWing presreće SMS kodove, a može i da preusmjeri dolazne pozive ka broju napadača, čime zaobilazi telefonske potvrde koje pojedine banke koriste za provjeru sumnjivih transakcija. Malver podržava i daljinsku kontrolu uređaja putem VNC-a, bilježenje unosa s tastature, kao i tajno snimanje kamerom i mikrofonom, dok se zaraženi telefoni mogu koristiti i kao dio botneta za izvođenje DDoS napada.
Prema procjeni istraživača, RedWing predstavlja novu evoluciju poznate Android malver porodice Oblivion, s kojom dijeli značajan dio infrastrukture i tehnika napada. U praksi, riječ je o još jednom primjeru kako se špijunski i finansijski malveri sve češće nude kao gotov servis, s alatima za distribuciju, skrivanje i upravljanje uređajima na jednom mjestu. Zbog toga je posebno važno oprezno pristupati APK datotekama i lažnim stranicama koje oponašaju poznate trgovine aplikacija, posebno kada traže dozvole koje nisu u skladu s onim što aplikacija navodno radi.