RedWing no Android rouba bancos, saiba como reduzir risco
Spyware alugado no Telegram facilita roubo de senhas bancárias e códigos por SMS.
Resumo rapido
Pesquisadores da Zimperium identificaram o RedWing, um spyware para Android vendido como serviço dentro do Telegram. A ferramenta foi criada para roubar credenciais de aplicativos bancários e de criptomoedas. Segundo a análise, a ameaça mira 82 instituições, a maioria financeiras russas, e consegue interceptar SMS, desviar chamadas e gravar tela, câmera e microfone.
Neste artigo voce vai aprender:
- O que é o RedWing e por que ele chama atenção.
- Como criminosos compram e montam o aplicativo malicioso pelo Telegram.
- Quais permissões tornam o ataque perigoso no Android.
- Quais sinais podem indicar risco em uma instalação.
- O que fazer para reduzir exposição a golpes bancários no celular.
O que é o RedWing
O RedWing é uma nova linhagem de spyware para Android identificada pelo zLabs, equipe de pesquisa da Zimperium. A operação foi classificada como malware como serviço: em vez de exigir domínio técnico, ela entrega documentação, vídeos tutoriais e um modelo de assinatura para quem quer atacar sem escrever uma linha de código.
O que torna o caso mais sério é o foco em aplicativos bancários e de criptomoedas. A Zimperium contabilizou 82 instituições na lista de alvos, a maioria ligada ao setor financeiro russo. A empresa associou a operação a atores de ameaça russos e alertou que muitas amostras ainda escapam de ferramentas de segurança convencionais.
Como o golpe funciona
A distribuição do RedWing passa por um bot no Telegram, responsável por montar e disfarçar o APK malicioso para cada comprador. Os operadores também produzem páginas falsas de lojas de aplicativos, copiando Google Play, Galaxy Store, AppGallery ou RuStore, com avaliações e contadores de download fabricados para dar aparência de legitimidade.
Depois da instalação, o RedWing conduz o usuário por telas de permissão que parecem parte de uma configuração comum. O alvo é o serviço de acessibilidade do Android e a caixa de SMS. Com esses acessos, o malware esconde o próprio ícone, permanece em segundo plano e entra em ação assim que a vítima abre um app bancário.
A técnica central é a sobreposição: uma tela falsa de login surge por cima do app legítimo para capturar usuário e senha. Para burlar a confirmação em duas etapas, o RedWing intercepta os códigos por SMS e ainda encaminha chamadas recebidas para um número controlado pelo atacante.
Sinais de alerta
Todo o esquema depende de convencer a vítima a instalar o app e conceder permissões sensíveis. Por isso, alguns comportamentos merecem atenção redobrada:
- Página de download parecida com loja oficial, mas acessada por link externo.
- Pedido insistente de permissões de acessibilidade ou SMS sem motivo claro.
- Aplicativo que desaparece da tela inicial logo após a instalação.
- Telas de login bancário que aparecem de forma inesperada ou diferente do habitual.
- Chamadas recebidas ou códigos por SMS ligados ao banco sem que você tenha solicitado.
Como se proteger
A defesa começa antes mesmo da instalação. Se o aplicativo chegou por um link no Telegram ou por uma página que apenas imita Google Play, Galaxy Store, AppGallery ou RuStore, trate o arquivo como suspeito. O RedWing prova que os criminosos estão investindo em páginas falsas cada vez mais convincentes.
Limitar permissões é igualmente decisivo. Um app comum não precisa de controle de acessibilidade, SMS, câmera, microfone e chamadas sem uma justificativa evidente. Para empresas, o caminho prático é revisar as políticas de acesso em celulares corporativos, reforçar autenticação forte e orientar colaboradores sobre apps que simulam lojas oficiais.
Checklist prático
- Não instale APKs recebidos por Telegram, links de terceiros ou páginas que apenas parecem lojas oficiais.
- Revise as permissões dos apps no Android, com atenção especial a acessibilidade, SMS, chamadas, câmera e microfone.
- Se um app bancário exibir uma tela de login estranha, feche o aplicativo e confirme o acesso pelos canais oficiais.
- Desconfie de apps que escondem o ícone após a instalação ou pedem várias permissões em sequência.
- Nas empresas, combine autenticação forte, gestão de acesso e treinamento para conter o impacto de credenciais roubadas.
Perguntas frequentes
O RedWing afeta qualquer celular?
A ameaça descrita pela Zimperium é voltada ao Android. O risco aparece quando a vítima instala o aplicativo malicioso e concede permissões sensíveis.
O RedWing rouba apenas senhas?
Não. Além de capturar credenciais com telas falsas, ele intercepta SMS, encaminha chamadas, registra teclas, controla a tela ao vivo e grava câmera e microfone.
Por que o uso do Telegram é importante?
Porque a operação usa um bot no Telegram para automatizar a criação do APK malicioso, somado ao modelo de assinatura e a um programa de indicação que amplia a distribuição.
Proteja sua empresa com a MFA2GO
O RedWing mostra que o roubo de credenciais no celular consegue burlar senhas e códigos por SMS. A MFA2GO ajuda sua empresa a fortalecer autenticação, controlar acessos e reduzir o impacto de contas comprometidas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://www.infosecurity-magazine.com/news/redwing-android-spyware-maas/
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.
