RedWing aluga fraude bancária Android no Telegram com apps sob demanda e evasão de antivírus

RedWing aluga fraude bancária Android no Telegram com apps sob demanda e evasão de antivírus

Operação MaaS monta droppers personalizados, solicita Accessibility e SMS padrão e combina overlays com captura de OTP e encaminhamento de chamadas para drenar contas no próprio dispositivo da vítima

ComponenteRedWing, kit MaaS Android com bot no Telegram, droppers que imitam Google Play, Galaxy Store, AppGallery ou páginas customizadas, e payloads orientados a fraude bancária e cripto
VetorLink de phishing que leva a falso marketplace; instalação fora de loja oficial; sequência gradual de permissões para isenção de bateria, app de SMS padrão, notificações e serviço de Accessibility
ImpactoControle amplo do aparelho, overlays sobre apps financeiros, leitura de SMS e dados exibidos na tela, encaminhamento silencioso de chamadas, keylogger, streaming de tela, acesso a câmera, microfone, arquivos, contatos, registros de chamadas e localização; uso de dispositivos infectados para tráfego de negação de serviço
PrioridadeBloquear sideloading em endpoints gerenciados, alertar para pedidos de Accessibility e papel de SMS padrão, caçar encaminhamento de chamadas e overlays ativos, e reforçar política de instalação exclusivamente por lojas oficiais
ArtefatosApps gerados por comprador via bot; listas de instituições alvo embutidas por cópia; alvos de overlay ajustáveis remotamente pelo painel sem novo pacote
MitigaçãoRestringir fontes desconhecidas, monitorar apps que ocultam ícone após instalação, priorizar detecção comportamental em vez de nomes de pacote, e aplicar orientações publicadas de indicadores de comprometimento
Resumo técnico

Pesquisadores em segurança móvel identificaram uma operação de malware Android denominada RedWing, comercializada no Telegram como serviço pronto de fraude bancária no modelo malware-as-a-service. O produto é oferecido em camadas de assinatura, com descontos por indicação, materiais de apoio e vídeos explicativos, de modo que compradores sem experiência em desenvolvimento malicioso consigam operar o esquema. Um bot na plataforma monta aplicativos personalizados sob demanda para cada assinante.

A análise técnica aponta semelhança com Oblivion, outro aluguel de malware documentado anteriormente no ano com custo aproximado de trezentos dólares mensais. Parte relevante dos droppers e payloads gerados pelo ecossistema RedWing teria evadido ferramentas convencionais de segurança no momento da observação, o que eleva o risco para ambientes que dependem apenas de assinaturas estáticas ou reputação de pacote.

O foco operacional é fraude on-device: em vez de reutilizar credenciais roubadas em outro terminal, o operador atua dentro da sessão bancária já aberta no telefone da vítima. Esse padrão se alinha a uma tendência mais ampla no crime Android, com kits russos de aluguel como Fantasy Hub, campanhas de grande escala como Albiriox voltadas a centenas de aplicativos financeiros e o uso de overlays e controle remoto oculto observado em Klopatra. RedWing não explora falha de sistema; depende de engenharia social na instalação e de permissões elevadas concedidas pelo usuário.

Fluxo técnico

A cadeia começa com um link de phishing que abre uma página falsa de loja de aplicativos. O construtor de dropper pode replicar a aparência do Google Play, da Galaxy Store, da AppGallery ou de vitrines totalmente customizadas, incluindo avaliações, comentários e contadores de download fabricados. A página pressiona a instalação fora do canal oficial e o aceite sequencial de permissões.

Durante a instalação, o aplicativo exibe uma interface aparentemente inofensiva enquanto cartões modais solicitam privilégios um de cada vez: desativar limites de bateria, tornar-se o manipulador padrão de mensagens de texto e habilitar notificações. Em seguida pede ativação do serviço de Accessibility do Android, recurso frequentemente abusado para leitura de tela e automação de toques. Com esse conjunto, o malware obtém controle operacional amplo sobre o dispositivo.

A operação separa dois mecanismos de alvo. Os aplicativos monitorados via Accessibility são definidos na compilação de cada cópia, o que implica geração de um novo binário quando o comprador escolhe instituições diferentes. Já os alvos de overlay podem ser alterados depois pelo painel de controle, sem redistribuir o aplicativo. Isso permite reorientar campanhas rapidamente enquanto a base instalada permanece estável.

Entre as capacidades observadas estão telas de login falsas sobrepostas a aplicativos bancários e de criptomoedas; interceptação de mensagens SMS com códigos de uso único; extração via Accessibility de números de cartão, PIN e códigos exibidos na interface; encaminhamento silencioso de chamadas recebidas por meio de código de operadora oculto, o que interfere em verificações telefônicas e checagens antifraude do banco; transmissão ao vivo da tela e registro de teclas; ativação de câmera e microfone; leitura de arquivos, contatos, histórico de chamadas e localização; e agregação de aparelhos comprometidos para gerar volume de tráfego contra sites-alvo, caracterizando negação de serviço distribuída a partir de endpoints móveis.

Superficie afetada

O ecossistema foi observado mirando oitenta e duas instituições em múltiplos setores, com concentração em empresas financeiras da Rússia, embora a lista possa mudar conforme preferências dos compradores. Evidências de mercado incluem amostra com página falsa associada ao RuStore. Especialistas associam a operação a atores russos, mas não há confirmação formal de atribuição.

Dispositivos Android de consumidores e colaboradores que aceitam instalar pacotes fora de lojas oficiais e concedem Accessibility ou papel de SMS padrão a aplicativos não confiáveis compõem a superfície principal. Organizações com políticas fracas de mobile device management ou sem bloqueio de sideloading ficam expostas a instalações que passam despercebidas em inventários baseados apenas em nome de pacote.

  • Usuários finais que clicam em links de suposta atualização ou promoção de aplicativo
  • Ambientes corporativos que permitem instalação de fontes desconhecidas sem revisão
  • Titulares de contas bancárias e de carteiras de criptomoedas monitoradas por overlays ou Accessibility
  • Instituições listadas nas configurações embutidas de cada build personalizado
Hunting e telemetria

Como o kit pode ser reembalado visualmente e os overlays atualizados remotamente, nomes de aplicativo e ícones são indicadores frágeis. A detecção deve priorizar comportamento: sequência de solicitações de Accessibility, SMS padrão e isenção de bateria logo após instalação; desaparecimento do ícone na gaveta de aplicativos; e atividade de leitura de tela coincidente com abertura de apps financeiros.

Equipes de resposta devem correlacionar eventos de mensagens SMS lidas em massa, digitação capturada em campos sensíveis e mudanças não autorizadas nas configurações de encaminhamento de chamadas. Em dispositivos gerenciados, políticas que sinalizam pedidos de Accessibility ou de handler padrão de SMS oferecem telemetria precoce antes da fraude financeira. Pesquisadores divulgaram indicadores de comprometimento para caça ativa, úteis quando combinados com análise comportamental em endpoint e gateway móvel.

  • App recém-instalado que oculta ícone após primeira execução
  • Solicitação de Accessibility acompanhada de interface web genérica em segundo plano
  • Leitura acelerada de SMS contendo tokens numéricos curtos durante sessão bancária
  • Alteração de encaminhamento de chamadas sem ação explícita do usuário
  • Sobreposição visual sobre pacotes bancários ou de cripto já autenticados
  • Tráfego de saída anômalo coordenado entre múltiplos endpoints móveis infectados
Mitigação

A primeira barreira é temporal: impedir instalação fora de lojas oficiais e tratar qualquer link de atualização recebido por mensagem ou e-mail como suspeito. Usuários não devem habilitar instalação de fontes desconhecidas nem conceder Accessibility, handler padrão de SMS ou isenção de bateria sem justificativa técnica clara e verificação da origem do software.

Em fleets gerenciados, administradores podem impor bloqueio de sideloading e regras que marquem aplicativos que requisitam Accessibility ou papel de SMS. Após suspeita, a resposta deve incluir revogação de permissões críticas, verificação de encaminhamento de chamadas, troca de credenciais bancárias em canal autêntico e notificação à instituição financeira com base em sessão comprometida no próprio aparelho. Caçadores devem adotar os indicadores publicados pela pesquisa, validando-os contra telemetria local porque cada build pode diferir em metadados superficiais.

  • Permitir instalação somente por marketplaces oficiais verificados
  • Bloquear sideloading e fontes desconhecidas via política MDM ou perfil corporativo
  • Alertar quando apps solicitarem Accessibility ou SMS padrão sem função legítima evidente
  • Inspecionar encaminhamento de chamadas e overlays ativos em investigações de fraude móvel
  • Priorizar regras comportamentais e IoCs divulgados em vez de bloqueio por rótulo de aplicativo
  • Orientar usuários a desconfiar de páginas que imitam lojas com avaliações e downloads inflados

Postar um comentário

0 Comentários