Telegram 托管的 RedWing 恶意软件可让任何人租用 Android 间谍软件工具

RedWing:Android 银行木马,您可以在 Telegram 上以不到咖啡订阅费的价格租用 Zimperium 的 zLabs 团队发现了 RedWing,这是一种通过 Telegram 作为订阅服务出售的 Android 间谍软件操作,与俄罗斯威胁行为者有联系,并且明显源于 Oblivion 恶意软件家族。它附带文档、教程视频、推荐 [...]

来源:Security Affairs _恶意软件

Telegram 托管的 RedWing 恶意软件可让任何人租用 Android 间谍软件工具

RedWing:Android 银行木马,您可以在 Telegram 上以低于咖啡订阅费的价格租用

Zimperium 的 zLabs 团队发现了 RedWing,这是一种通过 Telegram 作为订阅服务出售的 Android 间谍软件操作,与俄罗斯威胁行为者有联系,并且明显源于 Oblivion 恶意软件家族。

它附带文档、教程视频、推荐折扣计划以及按需构建自定义恶意应用程序的机器人。无需恶意软件编写技能。

“RedWing 不仅仅是在线销售的另一种基本恶意软件,它是一款完全开发的商业级 MaaS 产品,具有卖家文档、视频和机器人驱动的订阅模式,为新手攻击者提供了较低的进入门槛。”阅读 Zimperium 发表的报告。 “作为这一点的证明,APK 定制/混淆/创建可以通过电报完全实现。”

感染始于打开虚假应用商店页面的网络钓鱼链接。 Dropper 构建器可以模仿 Google Play、三星 Galaxy Store 或华为的 AppGallery,提供虚假的评分、评论和下载计数。

“C2面板具有复杂的‘Onboarding Constructor’。在‘Stealer’配置模块中,操作员可以部署欺骗性的‘WebView + Cards’界面。这种机制在后台加载一个看起来良性的网页来建立合法性,同时从屏幕底部顺序覆盖定制的权限提示(卡)。”报告继续。 “通过定制的社会工程诱饵,恶意软件强迫用户授予关键系统访问权限,特别针对三个核心权限:禁用电池优化(以确保后台执行不间断)、将应用程序设置为默认短信处理程序(对于拦截 2FA 代码至关重要)以及访问通知。”

在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon

皮尔路易吉·帕格尼尼

(安全事务 - 黑客攻击、恶意软件)