SecBoard
Zurück zur Übersicht

RedWing MaaS Packages Android Bank Fraud as a Telegram Rental Service

The Hacker News·
Originalartikel lesen bei The Hacker News

RedWing, eine neue Android-Malware, wird als Mietdienst über Telegram angeboten und ermöglicht Kriminellen den Diebstahl von Bankdaten und Einmalcodes. Betroffen sind Android-Nutzer, deren Telefone übernommen und Finanzdaten kompromittiert werden könnten. Es wird empfohlen, wachsam zu sein und Sicherheitsmaßnahmen zu ergreifen, um sich vor solcher Malware zu schützen.

Kurzfassung

RedWing ist eine neue Android-Malware, die als Mietdienst über Telegram angeboten wird, um Bankbetrug zu ermöglichen. Sie zielt darauf ab, Bankdaten und Einmalcodes von Android-Nutzern zu stehlen. Dies ermöglicht es auch weniger erfahrenen Angreifern, Finanzdaten zu kompromittieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Android-Nutzer und Finanzinstitute, deren Kunden betroffen sein könnten.

Warum relevant

Die Verfügbarkeit von RedWing als Mietdienst senkt die Eintrittsbarriere für Cyberkriminelle erheblich, was zu einer Zunahme von Bankbetrugsfällen führen könnte. Organisationen müssen ihre Kunden über die Risiken informieren und ihre eigenen Erkennungsmechanismen verstärken.

Realistisches Worst Case

Umfassender Diebstahl von Bankdaten und Einmalcodes von Kunden, was zu erheblichen finanziellen Verlusten für Einzelpersonen und Reputationsschäden für Finanzinstitute führt.

Handlungsempfehlung

Implementierung von Multi-Faktor-Authentifizierung (MFA), Sensibilisierung der Nutzer für Phishing und verdächtige Apps, sowie Überwachung von mobilen Geräten auf ungewöhnliche Aktivitäten.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie, ob Ihre Organisation Richtlinien und technische Kontrollen zur Erkennung und Blockierung von bekannten schädlichen Android-Anwendungen implementiert hat.
  • Validieren Sie die Wirksamkeit Ihrer E-Mail- und Messaging-Filter, um Phishing-Nachrichten zu erkennen, die zur Verbreitung von Android-Malware verwendet werden könnten.
  • Testen Sie die Fähigkeit Ihrer Sicherheitslösungen, ungewöhnliche Netzwerkverbindungen von mobilen Geräten zu erkennen, die auf Command-and-Control-Kommunikation hindeuten könnten.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1552 Unsecured CredentialsHighermöglicht Kriminellen den Diebstahl von Bankdaten und Einmalcodes.
CollectionT1119 Automated CollectionLowermöglicht Kriminellen den Diebstahl von Bankdaten und Einmalcodes.
ImpactT1498 Account Access RemovalLowderen Telefone übernommen und Finanzdaten kompromittiert werden könnten.
Offene Punkte
  • Spezifische Verteilungsmechanismen der Malware (z.B. über welche Art von Phishing-Nachrichten oder gefälschten Apps).
  • Technische Details der Malware (z.B. verwendete Obfuskationstechniken, Persistenzmechanismen).
  • Konkrete Länder oder Finanzinstitute, die bisher von RedWing betroffen sind.
  • Die genaue Anzahl der betroffenen Nutzer oder Organisationen.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)