RedWing 令 Android 金融木馬變成出租生意,麻煩喺權限陷阱
Tech News

RedWing 令 Android 金融木馬變成出租生意,麻煩喺權限陷阱

圖片:via iThome — https://www.ithome.com.tw/news/177221
TechLab 編輯部(譯)·

Zimperium 指 RedWing 經 Telegram 出租,暫時主要鎖定俄羅斯金融機構

重點喺出租模式

iThome 報道,Zimperium 新近揭露 Android 惡意軟件 RedWing。佢最值得睇嘅位,係經 Telegram 包裝成 Malware-as-a-Service(MaaS)出租:買家有操作文件、教學影片、自訂 APK 同釣魚頁工具,技術門檻即刻低咗一截。所以件事唔止係又多一隻金融木馬,仲似手機詐騙開始行 SaaS 生意嗰套:有人寫工具、有人租服務、有人負責搵受害人。

Zimperium 報告入面嘅 RedWing 研究封面圖

圖片:Zimperium

假 app 店係入口

Zimperium 報告話,RedWing 個賣點唔單止係偷登入資料,仲有一套俾租客用嘅製作器。攻擊者可以用 Telegram bot 整自訂 APK,釣魚頁可以扮 Google Play、Galaxy Store、AppGallery 或其他 app 店,仲可以改評分、評論數、下載量、開發者名,等個假頁望落似真。Zimperium 亦話,RedWing 有啲 dropper 同 overlay 位似今年早前 Oblivion,成件事睇落係同一個 Android RAT 租賃化脈絡。

Zimperium 圖表顯示 RedWing 目標類別分佈,俄羅斯銀行金融佔最大份

圖片:Zimperium

權限一開,銀行 app 就冇幾多秘密

RedWing 會逐步引導用戶批無障礙服務、通知、SMS 預設 app、電池限制豁免等權限。批咗之後,攻擊者可以用假登入畫面蓋喺銀行或加密貨幣 app 上面,攞走帳密同一次性驗證碼;亦可以讀 SMS、聯絡人、通話記錄、檔案,甚至睇畫面同遙距撳掣。Zimperium 亦提到佢可以搞電話轉駁,令電話核實呢條路都唔穩陣。重點係,呢套攻擊好多時發生喺受害人自己部手機入面,防線難守過純粹撞密碼。

地區唔好講大咗

受害範圍要講清楚。Zimperium 話佢哋見到 82 間機構俾鎖定,金融同加密貨幣相關比例高,俄羅斯銀行金融佔最多;iThome 亦提到研究員估計攻擊者可能同俄羅斯有關。呢度暫時冇證據指向香港銀行或香港用戶中招,所以唔應該硬拉成本地事故。不過風險模型係通用嘅:只要假 app、側載 APK 同高危權限呢條鏈成立,地區可以變,假頁可以換,攻擊者租返同一套骨架就夠用。

要守住三道門

對普通 Android 用戶,最危險未必係電話太舊,反而係一連串看似合理嘅提示:『更新呢個 app』、『開通知先用到』、『設做 SMS app 先驗證』。正經銀行 app 幾乎冇理由叫你由瀏覽器下載 APK,再叫你開無障礙權限;一個購物、物流、優惠、投資 app 要求做 SMS 預設 app,同樣要即停。Google Play Protect 可以掃描同警告有問題 app,但 Zimperium 都提到部分 RedWing 樣本暫時避過傳統偵測,所以唔好當保護工具係免死金牌。

下一步睇行為訊號

公司 IT 如果管 Android 機,重點係封側載、限制 unknown-source install、監察突然要無障礙或預設 SMS 角色嘅 app,唔好淨係等 antivirus 報警。個人用戶就簡單啲:銀行、速遞、稅務、優惠 app 一律由官方 app 店搵;任何訊息叫你裝 APK 或改系統權限,先當詐騙處理;裝完 icon 消失、電話突然多咗奇怪通知權限、SMS app 俾換走,就即刻斷網、移除、改密碼,再聯絡銀行。之後要睇 RedWing 會唔會換名重出,同銀行 app、Android 權限設計、企業 MDM 可唔可以捉到呢類行為訊號。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook