Un nou tip de malware destinat telefoanelor Android este comercializat sub forma unui serviciu cu abonament, potrivit cercetătorilor în securitate cibernetică de la Zimperium. Programul, denumit RedWing, poate fura date bancare, intercepta coduri de autentificare și oferi atacatorilor acces în timp real la dispozitivul compromis.
Specialiștii Zimperium au descoperit că RedWing este promovat pe Telegram printr-un model de tip „malware-as-a-service”. Cei interesați pot achiziționa acces pe bază de abonament și primesc inclusiv un bot de asistență și materiale video care explică modul de utilizare.
Acest model reduce semnificativ nivelul de cunoștințe tehnice necesare pentru lansarea unui atac informatic. Practic, utilizatorii nu trebuie să dezvolte propriul software malițios, ci doar să plătească pentru acces și să urmeze instrucțiunile furnizate.
Odată instalat pe telefonul victimei, malware-ul poate desfășura o gamă largă de activități. Printre acestea se numără afișarea unor ecrane false peste aplicațiile bancare și de criptomonede, cu scopul de a fura datele de autentificare.
Programul poate citi mesajele primite pentru a intercepta codurile de verificare unică (OTP). De asemenea, este capabil să redirecționeze apelurile telefonice către atacatori prin intermediul unor funcții existente în rețelele de telefonie.
Potrivit cercetătorilor, RedWing oferă și acces la ecranul telefonului în timp real. Atacatorii pot activa camera sau microfonul, pot copia contacte, fișiere și mesaje și pot utiliza dispozitivul compromis pentru alte activități malițioase, inclusiv atacuri de tip DDoS.
Unul dintre motivele pentru care RedWing este considerat periculos este faptul că se bazează pe funcții legitime ale sistemului Android. Această abordare îi permite să rămână activ pe dispozitiv și să evite detectarea pentru perioade mai lungi.
Cercetătorii consideră că RedWing reprezintă o versiune reconstruită a malware-ului Oblivion, un alt kit comercializat în același mod.
Până în prezent, Zimperium a identificat 82 de instituții vizate de această campanie. Cele mai multe dintre ele aparțin sectorului financiar din Rusia, însă modelul de distribuție al malware-ului îl poate transforma într-o amenințare și pentru alte regiuni.
Specialiștii atrag atenția că telefoanele inteligente au devenit ținte tot mai atractive pentru infractorii cibernetici, deoarece sunt utilizate pentru operațiuni bancare, autentificare și comunicare.
Experții recomandă instalarea aplicațiilor exclusiv din magazinul oficial Google Play și evitarea surselor necunoscute. Totodată, utilizatorii ar trebui să fie atenți la aplicațiile care solicită permisiuni de accesibilitate fără un motiv clar.
Actualizarea regulată a sistemului de operare și a aplicațiilor rămâne una dintre cele mai eficiente măsuri de protecție. De asemenea, mesajele sau notificările care solicită instalarea urgentă a unor actualizări din surse neoficiale trebuie tratate cu suspiciune.