کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی بدافزار اندرویدی RedWing خبر دادهاند که بهصورت یک سرویس اجارهای در تلگرام عرضه میشود و به مهاجمان امکان میدهد با سرقت اطلاعات بانکی، کدهای یکبارمصرف و کنترل کامل دستگاه، حساب قربانیان را تصاحب کنند.
به گزارش کمیته رکن چهارم، پژوهشگران zLabs وابسته به شرکت Zimperium اعلام کردند RedWing نسخه تکاملیافته بدافزار Oblivion است و بهصورت بدافزار بهعنوان سرویس (MaaS) همراه با ربات تلگرامی، راهنماهای آموزشی و نسخه اختصاصی برای هر مشتری ارائه میشود؛ موضوعی که استفاده از آن را حتی برای افراد کمتجربه نیز ممکن کرده است.
آلودگی با ارسال لینکهای فیشینگ و هدایت کاربر به صفحات جعلی فروشگاههای نرمافزاری آغاز میشود. پس از نصب، بدافزار با دریافت مجوزهایی مانند Accessibility، دسترسی به پیامکها و اعلانها، کنترل گستردهای بر دستگاه به دست میآورد.
RedWing قادر است صفحات جعلی ورود بانکها را نمایش دهد، نام کاربری و گذرواژه را سرقت کند، پیامکهای حاوی کدهای تأیید را بخواند، تماسهای بانکی را به شماره مهاجم منتقل کند، از صفحهنمایش فیلمبرداری کند، کلیدهای فشردهشده را ثبت کند، به دوربین، میکروفون، فایلها، مخاطبان و موقعیت مکانی دسترسی داشته باشد و حتی از دستگاههای آلوده برای اجرای حملات DDoS استفاده کند.
پژوهشگران تاکنون ۸۲ مؤسسه مالی را در فهرست اهداف این بدافزار شناسایی کردهاند که بیشتر آنها در روسیه قرار دارند، هرچند امکان تغییر اهداف از طریق پنل مدیریتی بدون انتشار نسخه جدید بدافزار وجود دارد.
کارشناسان توصیه میکنند کاربران تنها از فروشگاههای رسمی برنامه نصب کنند، از فعال کردن نصب از منابع ناشناس خودداری کنند و مجوزهای حساسی مانند Accessibility یا برنامه پیشفرض پیامک را فقط به برنامههای مورد اعتماد اختصاص دهند. همچنین به گفته پژوهشگران، رفتار برنامهها شاخص قابلاعتمادتری برای شناسایی این تهدید نسبت به نام یا ظاهر آنها است.
منبع: The Hacker News



