近期安全研究機構 Zimperium zLabs 揭露了一款名為 RedWing 的 Android 惡意軟體。這款軟體最值得關注的不是其技術突破,而是一種被稱為 MaaS(Malware as a Service,惡意軟體即服務)的商業模式。簡單來說,攻擊者不再需要具備高深的開發能力,只要支付月費,就能像訂閱軟體一樣租用這套完整的詐騙工具組。
理解 MaaS 的威脅 對於初入行的工程師來說,傳統的駭客攻擊通常被想像成由技術高手撰寫特定代碼。但 MaaS 改變了遊戲規則,它將攻擊流程產品化。RedWing 在 Telegram 上提供訂閱制服務,包含操作指南、教學影片,甚至透過 Telegram Bot 為買家自動生成客製化的安裝包。這種低門檻讓大量低技術水平的犯罪分子能快速發動攻擊,大幅增加了威脅的數量與頻率。
攻擊路徑:從社交工程到權限獲取 RedWing 並不依賴系統漏洞(Exploit),而是利用使用者的心理漏洞與 Android 的權限機制。
第一階段是誘騙安裝。攻擊者發送釣魚連結,引導使用者進入偽造的應用程式商店頁面。這個工具組可以完美模擬 Google Play 或三星 Galaxy Store,甚至偽造評分與評論,讓使用者在不知情的情況下下載並安裝 APK 檔案。
第二階段是權限獲取。這是 RedWing 最關鍵的步驟。它不會一次要求所有權限,而是採取分段請求策略。在背景顯示一個看似無害的網頁,前方則彈出多個對話框,誘導使用者開啟電池優化排除、設定為預設簡訊處理程式,以及最危險的 Accessibility Service(輔助功能服務)。
為什麼輔助功能服務如此危險? 輔助功能服務原本是為了幫助身心障礙者操作手機,允許 App 讀取螢幕內容並模擬點擊。但被惡意軟體濫用後,它就變成了全能的控制開關。RedWing 利用此權限來達成以下目的: 讀取螢幕內容,直接截獲銀行 App 顯示的餘額、卡號或 PIN 碼。 自動讀取簡訊,截獲銀行發送的二階段驗證碼(OTP)。 控制手機操作,在使用者不知情的情況下執行指令。
核心攻擊手法:疊加層與通話轉發 一旦掌握權限,RedWing 會執行兩種高效率的詐騙手段。
首先是 Overlay(疊加層)攻擊。當使用者開啟真正的銀行或加密貨幣 App 時,惡意軟體會偵測到該 App 已啟動,並立即在上方覆蓋一個視覺上完全一致的假登入畫面。使用者輸入的帳號密碼其實是直接傳送給攻擊者,而非銀行伺服器。
其次是通話轉發。RedWing 會利用隱藏的電信指令(如 *21*)將受害者的來電轉發到攻擊者的號碼。這能有效切斷銀行在發現異常交易時嘗試撥打的確認電話,讓攻擊者在受害者毫不知情的情況下完成轉帳。
防禦建議與技術反思 從工程實務角度看,RedWing 的成功完全建立在使用者對權限的誤認上。因此,防禦重點不在於更新系統版本,而是在於安裝時的管控。
對於個人用戶,絕對不要從非官方商店安裝 App,且應極其謹慎地對待任何要求開啟輔助功能(Accessibility)或預設簡訊權限的第三方應用。
對於企業設備管理,應強制禁用 Sideloading(側載安裝),並透過 MDM 策略監控或封鎖請求高風險權限的應用程式。
最後,安全分析人員需要注意,這類 MaaS 工具具備高度的靈活性,攻擊者可以隨時更換 App 名稱或修改疊加層的目標銀行。因此,在追蹤威脅時,不應依賴檔名或名稱等表面特徵,而應專注於行為特徵(Behavioral Analysis),例如異常的權限請求模式或未經授權的通話轉發設定。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。