114 aktiivista uhkaa
Huijausvahti

Pankkitroijalaisen voi nyt vuokrata kuin suoratoistopalvelua: RedWing tuo Android-tilinviennin aloittelijoiden ulottuville

· · Aktiivinen · Tietoturva
Pankkitroijalaisen voi nyt vuokrata kuin suoratoistopalvelua: RedWing tuo Android-tilinviennin aloittelijoiden ulottuville

RedWing on Android-haittaohjelma, jota vuokrataan Telegramissa tilausmallilla, joten hyökkääjän ei tarvitse osata koodata. Vaarassa ei ole tämä Venäjään painottuva kampanja vaan sen tekniikka, jossa yhdistyvät sivuladatut APK-sovellukset, esteettömyyspalvelun väärinkäyttö ja kertakoodien sieppaus.

Tiivistelma

Zimperiumin zLabs löysi RedWing-haittaohjelman, jota myydään palveluna Telegramissa myyntidokumentteineen ja opetusvideoineen. Asennettuna se piirtää valenäkymiä pankkisovellusten päälle, sieppaa kertakoodit ja voi etäohjata puhelinta. Suomalaista pankkia ei ole kohteissa, mutta tekniikka on sama, josta Kyberturvallisuuskeskus on varoittanut pitkin vuotta.

Rikollisen ei tarvitse enää osata riviäkään koodia tyhjentääkseen toisen pankkitilin puhelimen kautta. Riittää, että hän tilaa palvelun kuukausimaksua vastaan.

Tietoturvayhtiö Zimperiumin zLabs-tutkimusyksikkö kertoo löytäneensä RedWing-nimisen Android-haittaohjelman, jota vuokrataan Telegram-kanavalla samaan tapaan kuin suoratoistopalvelua. Mukana tulevat myyntidokumentit, opetusvideot ja tilausmalli, jota myyjä maustaa suositteluun perustuvalla alennuksella.

Juuri tästä on kyse ilmiössä, jota tutkijat kutsuvat nimellä malware-as-a-service. Työkalu, tuki ja ohjeet myydään valmiina pakettina, joten ostajan ei tarvitse ymmärtää tekniikasta juuri mitään. Osaava kehittäjä rakentaa, aloittelija käyttää.

Haittaohjelmalla on tutkijoiden mukaan yhteyksiä venäläisiin rikollistoimijoihin, ja sen pudottajaosa muistuttaa aiemmin nähtyä Oblivion-etähallintaohjelmaa. Myös The Hacker News nostaa esiin venäläiskytkennän. Hinnan Zimperium jättää kertomatta, koska se näkyy vain myyjän kuvakaappauksissa.

Miten haittaohjelma sitten päätyy puhelimeen? Ei sovelluskaupasta, vaan sen ohi.

Uhri houkutellaan mobiilikalastelusivulle, joka jäljittelee Google Playta, Samsungin Galaxy Storea tai Huawein AppGalleryä. Sivulle on väärennetty arvostelut, latausmäärät ja kehittäjän nimi. Kaikki tähtää siihen, että uhri asentaa APK-tiedoston virallisen kaupan ulkopuolelta.

Sivulataus (sideloading)

Sivulataus tarkoittaa sovelluksen asentamista APK-tiedostosta virallisen sovelluskaupan ohi, esimerkiksi selaimesta ladatusta linkistä. Google Playn tarkistukset jäävät tällöin väliin, joten haittaohjelma pääsee laitteeseen ilman kaupan seulaa.

Asennuksen jälkeen RedWing ottaa puhelimen haltuunsa monella tapaa yhtä aikaa. Se piirtää pankki- ja kryptosovellusten päälle väärennetyn kirjautumisnäkymän. Lisäksi se väärinkäyttää Androidin esteettömyyspalvelua näppäilyjen tallentamiseen ja napautusten automatisointiin.

Samalla ohjelma asettuu puhelimen tekstiviestisovellukseksi ja sieppaa kaksivaiheisen tunnistautumisen kertakoodit. Viesteistä poimitaan säännönmukaisuuksia hakemalla myös korttinumeroita ja CVV-koodeja. Puheluihin perustuvan varmistuksen se kiertää USSD-komennolla.

Pisimmälle menee suora etäohjaus. VNC-yhteys välittää puhelimen ruutua reaaliajassa, jolloin rikollinen näkee ja käyttää laitetta kuin se olisi hänen kädessään. Päälle tulevat vielä väärennetyt päivitys- ja lukitusnäkymät, äänettömät tekstiviestit sekä pääsy kameraan, mikrofoniin ja sijaintiin.

Taustalla ohjelma kerää ja lähettää eteenpäin puhelimen tekstiviestit, yhteystiedot ja kuvat. Uhri ei näe mitään tästä, koska valenäkymät ja lukitusruudut peittävät toiminnan.

RedWing on viritetty tunnistamaan 82 pankki-, krypto- ja muun palvelun sovellusta, painottuen todella voimakkaasti venäläisiin rahoituslaitoksiin. Uhrien määrää ei kerrota, eikä kohteissa mainita yhtään suomalaista tai pohjoismaista pankkia.

Miksi suomalaisen kannattaa silti seurata tätä? Koska vaarassa ei ole tämä yksittäinen kampanja vaan itse tekniikka.

Kyberturvallisuuskeskus on varoittanut pitkin vuotta 2026 juuri tällaisista Android-haittaohjelmista, joilla rikolliset pyrkivät käsiksi pankkisovelluksiin ja tekstiviesteihin. RedWing näyttää, kuinka halvaksi ja helpoksi tuo on tehty.

– Palvelumallilla myytävä haittaohjelma laskee rikoksen aloituskynnyksen lähes olemattomaksi, Zimperiumin zLabs-tutkimusyksikkö toteaa raportissaan.

Tunnistusmerkit

Selvin merkki näkyy jo ennen asennusta. Aitoa sovelluskauppaa ei koskaan toimiteta sinulle linkkinä tekstiviestissä, sähköpostissa tai mainoksessa.

Varo sivua, joka näyttää Google Playlta tai Galaxy Storelta mutta pyytää asentamaan APK-tiedoston selaimen kautta. Hälytyskellojen pitäisi soida myös silloin, kun tuore sovellus pyytää heti esteettömyysoikeuksia tai oikeutta lukea ja lähettää tekstiviestejä.

Mitä tehdä

Asenna sovelluksia vain Google Play -kaupasta. Älä koskaan lataa APK-tiedostoa linkistä, vaikka sivu näyttäisi tutulta kaupalta.

Pidä Google Play Protect päällä ja suhtaudu odottamattomiin päivitys- tai lukitusnäkymiin varauksella. Älä myönnä esteettömyysoikeutta sovellukselle, jota et itse tietoisesti lähtenyt hakemaan.

Jos epäilet asentaneesi tällaisen sovelluksen, katkaise puhelimen nettiyhteys, ota yhteyttä omaan pankkiisi heti ja tee rikosilmoitus poliisi.fi-palvelussa. Ilmoita tapauksesta myös osoitteessa ilmoita.kyberturvallisuuskeskus.fi.

RedWing tuskin jää viimeiseksi pankkitroijalaiseksi, jota myydään valmiina pakettina. Kuinka moni jäljittelijä seuraa perässä, jää nähtäväksi. Toistaiseksi paras suoja pysyy varsin yksinkertaisena.

Mitään sovellusta ei asenneta virallisen kaupan ulkopuolelta.

Lahteet

Lue myos