עולם פשעי הסייבר ממשיך לצעוד בכיוון מדאיג של "הנגשה": לא עוד תוקפים מתוחכמים שכותבים נוזקות בעצמם, אלא מודל של תוכנה-כשירות (MaaS) המאפשר לכל אדם, גם ללא ידע טכני, לשכור כלי תקיפה מוכן ומלוטש. נוזקת האנדרואיד RedWing שנחשפה על ידי חוקרי Zimperium zLabs, היא דוגמה מובהקת: מבצע שבו בוט טלגרם בונה עבור הלקוח קובץ APK זדוני ומעורפל, לצד מנוי מדורג, תיעוד למשתמש, סרטוני הדרכה ואפילו תוכנית שותפים שמתגמלת על הפצה רחבה יותר. במילים אחרות — תשתית עסקית לכל דבר אשר מורידה את רף הכניסה לפשע לרמה של לחיצת כפתור.
מבחינה טכנית, שרשרת ההדבקה מתחילה לא בפריצה אלא בהטעיה. הכלי מייצר דפי חנות אפליקציות מזויפים המחקים את Google Play, את Galaxy Store, את AppGallery ואת RuStore הרוסית — כולל דירוגים ומספרי הורדות פיקטיביים — כדי לשכנע את הקורבן להתקין אפליקציה מחוץ לחנות הרשמית. מרגע ההתקנה, הנוזקה מבקשת בהדרגה הרשאות קריטיות: שירותי נגישות (Accessibility), הרשאת overlay והפיכתה לאפליקציית ברירת המחדל ל- SMS. כל אחת מהן נראית תמימה בנפרד, אך יחד הן מעניקות לתוקף שליטה כמעט מלאה במכשיר.
היכולות שנחשפו מדאיגות: מסכי כיסוי מזויפים הנפרשים מעל אפליקציות בנקאות וארנקי קריפטו לגניבת סיסמאות; יירוט הודעות SMS לעקיפת אימות דו-שלבי; חילוץ אוטומטי של קודים חד-פעמיים, מספרי כרטיסי אשראי וקודי CVV באמצעות תבניות regex; שידור מסך חי בסגנון VNC; הפעלת מצלמה ומיקרופון; keylogger; ואף גיוס המכשיר למתקפות מניעת שירות (DDoS). אך היכולת הבולטת במיוחד היא הפניית שיחות שקטה: בפקודה מרחוק מפעילה הנוזקה קוד USSD ומפנה את כל השיחות הנכנסות למספר של התוקף. כך היא מנטרלת אימות מבוסס-שיחה קולית ואף עוקפת שיחות אימות של מוקדי מניעת הונאה בבנק — הקורבן פשוט לא יידע שהבנק ניסה להתקשר אליו.
עד כה זיהו החוקרים 82 מוסדות במוקד מתקפת סייבר זו, בדגש חזק על גופים פיננסיים רוסיים. אך המסקנה חשובה מהמיקוד הגאוגרפי הנוכחי: מודל ה- MaaS מתוכנן להתפשט. לוח הבקרה מאפשר להחליף את רשימת האפליקציות המותקפות ללא הפצה מחדש של הנוזקה — כלומר אותה תשתית עצמה יכולה לכוון מחר לבנקים ולארנקים בכל מדינה, כולל בישראל.
המשמעות לארגונים
הסיפור הזה ממחיש עיקרון שקל לפספס: המכשיר הנייד הפרטי של העובד הוא חלק ממשטח התקיפה של הארגון. טלפון אחד שנדבק — כזה שיש בו גישה לדוא"ל הארגוני, לאפליקציות עסקיות ולקודי האימות — הופך לנקודת כניסה פנימה. וחשוב מכל: כאן אין "חור" בתוכנה שאפשר להטליא. נקודת הכשל היא אנושית — ההסכמה של המשתמש להתקין קובץ מחוץ לחנות ולאשר הרשאות מסוכנות.
הזווית של 010
מול איום שמתחיל בהטעיה ולא בפגיעות, קו ההגנה המכריע הוא מודעות עובדים לסייבר. עובד שמזהה חנות אפליקציות מזויפת, שיודע לא להתקין קובצי APK ממקורות לא רשמיים ושמבין מדוע לעולם אין לאשר הרשאת "נגישות" או overlay לאפליקציה אקראית — הוא ההגנה שאף מנגנון טכני אינו מחליף. לצד זאת, שירות מודיעין סייבר מאפשר לעקוב אחר משפחות MaaS מתפתחות כמו RedWing ולזהות מבעוד מועד מתי הן מרחיבות את כיסוין לגופים רלוונטיים בישראל. וברמת העיקרון — יש להתייחס לכל מכשיר נייד בעל גישה למשאבי הארגון כאל נקודת קצה לכל דבר ולהחיל עליו את אותה תשומת לב הניתנת לאבטחת המידע בתחנת עבודה.
RedWing אינה מתוחכמת יותר מנוזקות קודמות — היא פשוט נגישה יותר. וזו בדיוק הסכנה.