Siber Güvenlik

RedWing MaaS Paketleri: Telegram Üzerinden Kiralama Hizmeti Olarak Sunulan Android Banka Dolandırıcılığı

Android telefonlarda banka dolandırıcılığı yapmak artık daha kolay. RedWing adlı bir Android malware operasyonu, Telegram üzerinden kiralama hizmeti olarak sunuluyor. Bu hizmet, thậmi düşük becerilere sahip suçluların bile kurbanın telefonunu ele geçirmesine, banka bilgilerini çaldırmasına ve hesaplarını korumak için kullanılan tek kullanımlık kodları yakalamasına olanak tanıyor.

RedWing MaaS Paketlerinin Özellikleri

RedWing, Oblivion adlı bir malware aracının yeni bir varyantı gibi görünüyor. Oblivion, daha önce bu yıl belgelenmiş ve aylık 300 dolar karşılığında kiralanabilen bir malware aracıdır. RedWing, komple bir ürün olarak satılıyor ve abonelik düzeyleri, referans indirimleri, kılavuzlar ve nasıl yapılır videoları içeriyor. Böylece, alıcıya malware yazma becerisi gerekmiyor. Bir Telegram botu, her alıcı için özel bir uygulama oluşturuyor.

Bu “hizmet olarak kötü amaçlı yazılım” (Malware-as-a-Service – MaaS) modeli, siber suç dünyasında giderek daha popüler hale gelmektedir. RedWing, teknik bilgiye sahip olmayan kişilerin bile karmaşık siber saldırılar düzenlemesine imkan tanıyarak suçun erişimini genişletiyor. Sunulan kılavuzlar ve videolar, zararlı yazılımın kurulumundan hedeflerin belirlenmesine, çalınan verilerin nasıl kullanılacağına kadar tüm süreçleri adım adım açıklıyor. Bu durum, siber suç ekosisteminde yeni bir tehdit katmanı oluşturuyor.

Araştırmacılar, elde edilen dropper ve yüklerin önemli bir kısmının geleneksel güvenlik araçlarını atlattığını söylüyor. Enfeksiyon, bir phishing bağlantısı ile başlıyor ve sahte bir uygulama mağazası açılıyor. Kitin dropper builderı, Google Play, Galaxy Store ve AppGallery’i taklit edebiliyor veya tamamen özelleştirilmiş sayfalar oluşturabiliyor. Bu sayfalar, sahte değerlendirme, inceleme ve indirme sayıları ile birlikte geliyor.

Kullanıcı, resmi mağazadan değil de dışarıdan uygulama yüklemeye ve izinleri onaylamaya ikna ediliyor. Uygulama, izin isteklerini bir ekran bir zamanlı olarak sunuyor. Arka planda zararsız görünen bir web sayfası bulunurken, açılır kartlar, rutin gibi görünen izinleri isteyerek ortaya çıkıyor. Bu izinler arasında, pil limitlerini kapatma, uygulamayı varsayılan metin mesajı işleyicisi olarak ayarlama ve bildirimleri açma yer alıyor. Özellikle önemli olan ise Android’in Erişilebilirlik hizmetini açma talebidir; bu hizmet, ekranı okuma, kullanıcı etkileşimlerini simüle etme ve telefonu uzaktan kontrol etme gibi kritik yetenekler sağladığı için kötü amaçlı yazılımlar tarafından sıklıkla kötüye kullanılıyor. Bu izinlerin verilmesiyle birlikte, RedWing kurbanın cihazı üzerinde tam kontrol sağlamış oluyor.

RedWing’in Yetenekleri

RedWing, bu izinlerle birlikte geniş kapsamlı telefon kontrolü sağlıyor. Yetenekleri arasında:

  • Sahte giriş ekranları: Gerçek banka ve kriptopara uygulamalarının üzerine görünerek parolaları çalmak. Bu overlay saldırıları, kullanıcıların gerçek uygulamayı kullandığını düşünürken aslında kötü amaçlı yazılımın sahte arayüzüne kimlik bilgilerini girmelerini sağlar. Kimlik bilgileri doğrudan saldırganın kontrol paneline iletilir.
  • Gelen metinleri okumak ve Erişilebilirlik hizmeti kullanarak tek kullanımlık geçiş kodlarını, kart numaralarını ve PIN’leri ekranından kaldırmak: Bu sayede iki faktörlü kimlik doğrulama (2FA) mekanizmaları atlatılır. SMS yoluyla gelen tek kullanımlık şifreler (OTP) anında ele geçirilir ve kurbanın haberi olmadan işlem onayları yapılabilir. Erişilebilirlik hizmeti, ekrandaki her türlü metni okuyabilir ve kullanıcı arayüzü elementleriyle etkileşime geçebilir.
  • Kurbanın gelen aramalarını sessizce saldırgana yönlendirmek: Gizli bir taşıyıcı kodu (*21*) kullanarak arama iletme özelliğini açmak; bu, telefon tabanlı doğrulamayı ve banka dolandırıcılığı kontrollerini devre dışı bırakıyor. Örneğin, bir banka güvenlik için müşteriyi aradığında, arama doğrudan saldırgana yönlendirilir ve kurban durumdan habersiz kalır.
  • Canlı ekran akışı ve bir tuş takibi (keylogger): Operatörlerin telefonu gerçek zamanlı olarak izlemesine ve kontrol etmesine olanak tanıyor. Bu, saldırganlara kurbanın cihazında yaptığı her şeyi görme ve hatta uzaktan komutlar göndererek cihazı yönetme imkanı sunar. Tuş takibi ise girilen tüm metinleri, şifreler dahil olmak üzere kaydeder.
  • Kamerayı ve mikrofonu açmak, dosyaları okumak, rehber ve arama kayıtlarını çalmak ve Konumu izlemek: Bu yetenekler, saldırganlara kurban hakkında kapsamlı kişisel bilgi toplama olanağı tanır. Ortam dinlemesi yapabilir, kişisel fotoğraf ve belgelere erişebilir ve kurbanın hareketlerini takip edebilirler.
  • Enfekte telefonları bir hedef web sitesini trafikle boğmak için bir araya getirmek: Bir hizmet reddi (DDoS) saldırısı. RedWing ile enfekte olmuş cihazlar, farkında olmadan bir botnetin parçası haline gelebilir ve belirli bir web sitesine veya çevrimiçi hizmete yönelik toplu saldırılarda kullanılabilir.

Alıcılar kendi hedeflerini seçiyorlar ve malware, hedeflemeyi iki kategoriye ayırıyor. Erişilebilirlik aracılığıyla izlenen uygulamalar, her kopyada önceden yüklenmiş bulunuyor; bu, her alıcı hedef seçtikten sonra özel bir uygulama oluşturulduğunu gösteriyor. Öte yandan, örtük hedefler daha sonra kontrol panelinden değiştirilebiliyor; bu, yeni bir uygulama çıkarmaya gerek duyulmuyor. Bu esneklik, saldırganların kampanyalarını dinamik olarak güncellemelerine ve yeni finansal kurumları veya hizmetleri hedeflemelerine olanak tanır.

RedWing Operasyonunun Önemli Noktaları

Zimperium, çeşitli sektörlerde 82 hedef kurum belirledi; bunlarda Rus finansal şirketlerine güçlü bir odaklanma var, ancak bu liste herhangi bir zamanda değişebilir. Deliller, operasyonun Rus pazarına işaret ediyor; bir örnek, Rusya’nın RuStore için sahte bir sayfa kullanıyordu. Uzmanlar, operasyonun Rus tehdit aktörleriyle bağlantılı gibi göründüğünü, ancak bunu doğrulamaktan kaçınıyor.

Bu odaklanma, siber suç gruplarının genellikle kendi coğrafi bölgelerindeki veya dilsel pazarlarındaki hedeflere öncelik verdiğini göstermektedir. RuStore gibi yerel uygulama mağazalarını taklit etmek, yerel kullanıcıları daha kolay kandırabilmek için kullanılan etkili bir taktiktir. Bu tür bölgesel hedeflemeler, siber güvenlik araştırmacılarının saldırganların kökenlerini ve motivasyonlarını anlamalarına yardımcı olur.

RedWing, Android suçunda daha geniş bir eğilimi yansıtıyor; burada saldırganlar, kurbanın kendi bankacılık sistemleri içinde faaliyet gösteriyor. Bu, geleneksel uzak sunuculara dayalı saldırıların ötesine geçerek, kurbanın kendi cihazlarını kullanmak suretiyle dolandırıcılık yapma eğilimine işaret ediyor. Kurbanın cihazı üzerinde tam kontrol sağlamak, banka sistemlerinin güvenlik önlemlerini atlatmayı kolaylaştırır, çünkü işlemler kullanıcının kendi IP adresinden ve cihazından yapıldığı için meşru görünebilir.

Peki RedWing ile Ne Yapmalısınız?

Android cihaz kullanıcıları, özellikle bankacılık ve finansal uygulamaları kullananlar, dikkatli olmalı ve şüpheli uygulamaları yüklemekten kaçınmalıdır. Uygulamaları her zaman resmi Google Play Store veya güvenilir uygulama mağazalarından indirmeye özen gösterin. Bilinmeyen kaynaklardan gelen bağlantılara tıklamaktan ve uygulama yükleme isteklerini onaylamaktan kaçının.

Ayrıca, uygulamaların istediği izinleri dikkatlice incelemek ve gereksiz veya şüpheli görünen izinleri (özellikle Erişilebilirlik hizmeti, SMS okuma, arama yönlendirme gibi) vermeyi reddetmek önemlidir. Telefonların güncel işletim sistemi versiyonlarını kullanması ve güvenilir bir mobil güvenlik yazılımının (antivirüs/anti-malware) yüklü ve güncel tutulması da önemli adımlardır. Şüpheli bir durumla karşılaştığınızda, derhal bankanızla iletişime geçmeli ve cihazınızda kapsamlı bir güvenlik taraması yapmalısınız.

Sık Sorulan Sorular

RedWing nedir?

RedWing, Telegram üzerinden kiralanan bir Android banka dolandırıcılığı hizmetidir.

RedWing nasıl çalışır?

RedWing, bir phishing bağlantısı ile başlar ve sahte bir uygulama mağazası açar. Kullanıcı, uygulamayı yüklemeye ve izinleri onaylamaya ikna edilir.

RedWing'i önlemek için ne yapabilirim?

Android cihaz kullanıcıları, şüpheli uygulamaları yüklemekten kaçınmalı, uygulamaların izinlerini dikkatlice incelemeli ve gereksiz izinleri vermeyi reddetmelidir.

Özlem Özen

Merhaba, ben Özlem Özen. İçerik üreticisi olarak dijital dünyada bilgi, deneyim ve ilham verici içerikleri insanlarla buluşturmayı hedefliyorum. Sosyal medya, yaşam, kişisel gelişim, güncel trendler ve ilgi duyduğum farklı konular üzerine içerikler üreterek takipçilerime değer katmaya çalışıyorum. İçerik üretimini yalnızca paylaşım yapmak olarak değil, insanlarla anlamlı bir bağ kurmanın bir yolu olarak görüyorum. Bu nedenle hazırladığım her içerikte samimiyet, güvenilirlik ve fayda sağlamayı ön planda tutuyorum. Sürekli öğrenmeye, kendimi geliştirmeye ve değişen dijital dünyaya uyum sağlamaya önem veriyorum. Amacım; bilgi veren, düşündüren ve ilham kaynağı olan içeriklerle daha geniş kitlelere ulaşmak ve dijital platformlarda kalıcı bir değer oluşturmak. Üretmeye, öğrenmeye ve paylaşmaya duyduğum tutkuyla içerik yolculuğuma devam ediyorum.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu