عملية خبيثة جديدة لنظام Android تسمى ريد وينج يتم تأجيرها على Telegram كخدمة احتيال بنكية جاهزة. فهو يسمح حتى للمجرمين ذوي المهارات المنخفضة بالاستيلاء على هاتف الضحية، وسرقة معلومات تسجيل الدخول المصرفية الخاصة بهم، والتقاط الرموز التي تستخدم لمرة واحدة والتي تحمي حساباتهم.
وتقول شركة zLabs التابعة لشركة Zipperium، والتي اكتشفت العملية، إنها تبدو وكأنها نسخة جديدة من Oblivion، وهي أداة لتأجير البرامج الضارة بقيمة 300 دولار شهريًا تم توثيقها في وقت سابق من هذا العام.
يتم بيع RedWing كمنتج كامل، في مستويات الاشتراك مع خصومات الإحالة، والأدلة، ومقاطع الفيديو الإرشادية، لذلك لا يحتاج المشتري إلى مهارة في كتابة البرامج الضارة. ينشئ روبوت Telegram لكل مشتري تطبيقًا مخصصًا حسب الطلب.
يقول الباحثون إن عددًا كبيرًا من القاذفات والحمولات الناتجة تتهرب حاليًا من أدوات الأمان التقليدية.
تبدأ العدوى برابط تصيد يفتح صفحة متجر تطبيقات مزيفة. يمكن لأداة إنشاء القطارة الخاصة بهذه المجموعة تقليد Google Play وGalaxy Store وAppGallery، أو إنشاء صفحات مخصصة بالكامل، مكتملة بتقييمات ومراجعات وأعداد تنزيلات مزيفة. تقوم الصفحة بعد ذلك بإقناع المستخدم بتثبيت التطبيق من خارج المتجر الرسمي والموافقة على أذوناته.
يقوم التطبيق بتنظيم طلبات الإذن الخاصة به على شاشة واحدة في كل مرة. توجد صفحة ويب تبدو غير ضارة في الخلفية بينما تطلب البطاقات المنبثقة أذونات في إطار روتيني: قم بإيقاف تشغيل حدود البطارية، وقم بتعيين التطبيق كمعالج افتراضي للرسائل النصية، وقم بتشغيل الإشعارات.
ويطلب أيضًا تشغيل خدمة إمكانية الوصول على Android، والتي تستغلها البرامج الضارة لقراءة الشاشة والتحكم في الهاتف.

ومن خلال هذه الأذونات، يتمتع RedWing بالتحكم الواسع النطاق في الهاتف. وتشمل قدراتها:
- شاشات تسجيل دخول مزيفة، تسمى التراكبات، تظهر فوق تطبيقات الخدمات المصرفية والعملات المشفرة الحقيقية لسرقة كلمات المرور.
- قراءة النصوص الواردة لرموز المرور لمرة واحدة، واستخدام إمكانية الوصول لرفع الرموز وأرقام البطاقات وأرقام التعريف الشخصية من الشاشة عند ظهورها.
- تحويل المكالمات الواردة من الضحية إلى المهاجم بصمت، باستخدام رمز شركة الاتصالات المخفي (*21*) لتشغيل تحويل المكالمات، مما يؤدي إلى إلغاء التحقق عبر الهاتف ومكالمات التحقق من الاحتيال المصرفي.
- البث المباشر للشاشة ومسجل لوحة المفاتيح، حتى يتمكن المشغلون من مشاهدة الهاتف والتحكم فيه في الوقت الفعلي.
- تشغيل الكاميرا والميكروفون وقراءة الملفات وسرقة جهات الاتصال وسجلات المكالمات وتتبع الموقع.
- تجميع الهواتف المصابة لإغراق موقع الويب المستهدف بحركة المرور، وهو هجوم رفض الخدمة.
يختار المشترون أهدافهم الخاصة، وتقوم البرامج الضارة بتقسيم استهدافها إلى قسمين. يتم تضمين التطبيقات التي تشاهدها من خلال إمكانية الوصول في كل نسخة، مما يشير إلى تطبيق جديد يتم إنشاؤه للطلب بمجرد اختيار المشتري للأهداف. وعلى النقيض من ذلك، يمكن تغيير أهداف التراكب لاحقًا من لوحة التحكم دون دفع تطبيق جديد.

أحصى موقع Zimperium 82 مؤسسة مستهدفة في عدة قطاعات، مع تركيز قوي على الشركات المالية الروسية، على الرغم من أن هذه القائمة يمكن أن تتغير في أي وقت. تشير الأدلة إلى السوق الروسية: استخدمت إحدى العينات صفحة مزيفة لمتجر RuStore الروسي. ويقول الخبراء إن العملية تبدو مرتبطة بجهات تهديد روسية، لكنها لم تصل إلى حد تأكيدها.
يتناسب RedWing مع حركة أوسع في جرائم Android تجاه الاحتيال على الجهاز، حيث يعمل المهاجمون داخل الجلسة المصرفية الخاصة بالضحية بدلاً من سرقة كلمة المرور لاستخدامها في مكان آخر.
وضع الباحثون علامة على مجموعة تأجير شبه متطابقة في السوق الروسية، Fantasy Hub، في العام الماضي. وتظهر نفس الأساليب في Albiriox، الذي استهدف أكثر من 400 تطبيق مالي، وفي Klopatra، الذي استخدم جهاز التحكم عن بعد المخفي والتراكبات المزيفة لاستنزاف الحسابات أثناء نوم الضحايا.
لا يحتاج RedWing إلى استغلال Android. إنه يعمل فقط عندما يقوم المستخدم بتثبيت التطبيق من خارج متجر رسمي ويوافق على المطالبات، وبالتالي فإن خط الدفاع الأول هو ما يحدث في وقت التثبيت. للأفراد:
- قم بتثبيت التطبيقات من المتاجر الرسمية فقط، وتعامل مع أي “تحديث” يصل عبر رابط أو رسالة نصية على أنه مشبوه.
- لا تقم بتشغيل “التثبيت من مصادر غير معروفة”، ولا تمنح إمكانية الوصول، أو المعالج الافتراضي للرسائل النصية، أو إعفاء البطارية الوصول إلى التطبيق دون سبب واضح للحاجة إليه.
- انتبه إلى التطبيق الذي يخفي رمزه بعد تثبيته، وهي خدعة شائعة للبقاء بعيدًا عن الأنظار.
على الأجهزة المُدارة، يمكن فرض نفس الاختيارات مركزيًا: حظر التحميل الجانبي، ووضع علامة على التطبيقات التي تطلب إمكانية الوصول أو دور الرسائل القصيرة الافتراضي.
وقد نشر الباحثون أيضًا مؤشرات التسوية للفرق التي ترغب في البحث عنها. نظرًا لأنه يمكن إعادة تصميم المجموعة وتبديل أهداف التراكب الخاصة بها من لوحة، فإن نفس الكود يمكن أن يستمر في الظهور تحت أسماء جديدة، لذا فإن أسماء التطبيقات هي طريقة سيئة لتتبعها. السلوك هو الإشارة وليس الاسم.
