
En Telegram se alquila una nueva operación de malware para Android llamada RedWing como servicio de fraude bancario ya preparado. Esto permite que incluso delincuentes poco capacitados tomen el control del teléfono de una víctima, roben información de inicio de sesión bancaria y obtengan un código de un solo uso para proteger la cuenta.
Los zLabs de Zimperium, que descubrieron la operación, dicen que parece ser una nueva variante de Oblivion, una herramienta de alquiler de malware por 300 dólares al mes documentada a principios de este año.
RedWing se vende como un producto completo con un nivel de suscripción con descuentos introductorios, guías y vídeos instructivos, por lo que los compradores no necesitan ninguna habilidad para escribir malware. El bot de Telegram crea aplicaciones personalizadas a pedido para cada comprador.
Los investigadores dicen que una cantidad significativa de droppers y cargas útiles generadas hoy evaden las herramientas de seguridad tradicionales.
La infección comienza con un enlace de phishing que abre una página de tienda de aplicaciones falsa. El creador de cuentagotas del kit puede imitar Google Play, Galaxy Store, AppGallery o crear páginas completamente personalizadas con calificaciones, reseñas y números de descarga falsos. Luego, esta página indica al usuario que instale la aplicación desde fuera de la tienda oficial y autorice sus permisos.
La aplicación presenta solicitudes de permiso una pantalla a la vez. Las tarjetas emergentes solicitan permiso de forma rutinaria mientras las páginas web de apariencia inocente esperan en segundo plano. Eso significa desactivar los límites de batería, configurar la aplicación como su administrador de mensajes de texto predeterminado y activar las notificaciones.
También le pide que habilite los servicios de accesibilidad de Android, que el malware aprovecha para leer su pantalla y tomar el control de su teléfono.

Estos permisos le dan a RedWing un amplio control sobre el teléfono. Sus características incluyen:
Pantallas de inicio de sesión falsas, llamadas superposiciones, aparecen encima de aplicaciones bancarias o de criptomonedas reales para robar contraseñas. Lea el texto entrante para obtener códigos de acceso de un solo uso y utilice la accesibilidad para eliminar códigos, números de tarjetas y PIN de su pantalla cuando aparezcan. Transfiere silenciosamente las llamadas entrantes de la víctima al atacante usando un código de operador oculto (*21*) y activa el desvío de llamadas. Esto anula la autenticación telefónica y las llamadas de verificación de fraude bancario. La transmisión de pantalla en vivo y el registrador de teclas permiten a los operadores monitorear y controlar los teléfonos en tiempo real. Encienda su cámara y micrófono, lea sus archivos, robe sus contactos y registros de llamadas y rastree su ubicación. Un ataque de denegación de servicio que agrupa teléfonos móviles infectados e inunda con tráfico un sitio web específico.
El comprador elige su propio objetivo y el malware lo divide en dos. En cada copia se incluye una aplicación que monitorea la accesibilidad, lo que indica que se creará una nueva aplicación a pedido cuando el comprador seleccione un objetivo. Por el contrario, los objetivos de superposición se pueden cambiar más adelante desde el Panel de control sin tener que enviar una nueva aplicación.

Zimperium cuenta con 82 instituciones en múltiples sectores, con especial atención en las empresas financieras rusas, pero la lista está sujeta a cambios en cualquier momento. La evidencia apunta al mercado ruso. Una de las muestras utilizó una página falsa de RuStore de Rusia. Los expertos dicen que la operación parece estar vinculada a actores de amenazas rusos, pero no han podido confirmarlo.
RedWing encaja en un movimiento más amplio de delitos contra Android para el fraude en dispositivos que opera dentro de la propia sesión bancaria de la víctima, en lugar de robar contraseñas que los atacantes usan en otros lugares.
El año pasado, los investigadores emitieron una advertencia sobre un kit de alquiler en el mercado ruso casi idéntico llamado FantasyHub. Las mismas técnicas fueron reveladas en Albiriox, que atacó a más de 400 aplicaciones financieras, y Klopatra, que utilizó controles remotos ocultos y superposiciones falsas para comprometer cuentas mientras las víctimas dormían.
RedWing no requiere ningún exploit de Android. Esto sólo funciona si el usuario instala la aplicación desde una tienda no oficial y aprueba el mensaje, por lo que la primera línea de defensa es en el momento de la instalación. Para particulares:
Instale únicamente aplicaciones de tiendas oficiales y trate las «actualizaciones» que llegan a través de enlaces o mensajes de texto como sospechosas. No active «Instalar desde fuentes desconocidas». No otorgue accesibilidad, controlador de mensajes de texto predeterminado ni acceso de exención de batería a su aplicación a menos que tenga una razón clara para hacerlo. Tenga cuidado con las aplicaciones que ocultan sus íconos después de la instalación. Este es un truco común para pasar desapercibido.
Las mismas selecciones se pueden aplicar de forma centralizada en dispositivos administrados. Bloquee la descarga y marque aplicaciones que requieran accesibilidad o funciones de SMS predeterminadas.
Los investigadores también publican indicadores de compromiso para los equipos que deseen rastrear la infracción. A medida que se cambia el aspecto del kit y se cambian los objetivos superpuestos del panel, es posible que el mismo código siga apareciendo con un nuevo nombre, por lo que el nombre de la aplicación no es una buena forma de rastrearlo. El comportamiento es la señal, no el nombre.
Source link
