render-mfa2go-novo-logo
Voltar ao início do blog

RedWing Android e vendido no Telegram para roubar 82 instituicoes

Malware

RedWing no Android rouba bancos, saiba como reduzir risco

Spyware alugado no Telegram facilita roubo de senhas bancárias e códigos por SMS.

Resumo rapido

Pesquisadores da Zimperium identificaram o RedWing, um spyware para Android vendido como serviço dentro do Telegram. A ferramenta foi criada para roubar credenciais de aplicativos bancários e de criptomoedas. Segundo a análise, a ameaça mira 82 instituições, a maioria financeiras russas, e consegue interceptar SMS, desviar chamadas e gravar tela, câmera e microfone.

Neste artigo voce vai aprender:

  • O que é o RedWing e por que ele chama atenção.
  • Como criminosos compram e montam o aplicativo malicioso pelo Telegram.
  • Quais permissões tornam o ataque perigoso no Android.
  • Quais sinais podem indicar risco em uma instalação.
  • O que fazer para reduzir exposição a golpes bancários no celular.

O que é o RedWing

O RedWing é uma nova linhagem de spyware para Android identificada pelo zLabs, equipe de pesquisa da Zimperium. A operação foi classificada como malware como serviço: em vez de exigir domínio técnico, ela entrega documentação, vídeos tutoriais e um modelo de assinatura para quem quer atacar sem escrever uma linha de código.

O que torna o caso mais sério é o foco em aplicativos bancários e de criptomoedas. A Zimperium contabilizou 82 instituições na lista de alvos, a maioria ligada ao setor financeiro russo. A empresa associou a operação a atores de ameaça russos e alertou que muitas amostras ainda escapam de ferramentas de segurança convencionais.

Como o golpe funciona

A distribuição do RedWing passa por um bot no Telegram, responsável por montar e disfarçar o APK malicioso para cada comprador. Os operadores também produzem páginas falsas de lojas de aplicativos, copiando Google Play, Galaxy Store, AppGallery ou RuStore, com avaliações e contadores de download fabricados para dar aparência de legitimidade.

Depois da instalação, o RedWing conduz o usuário por telas de permissão que parecem parte de uma configuração comum. O alvo é o serviço de acessibilidade do Android e a caixa de SMS. Com esses acessos, o malware esconde o próprio ícone, permanece em segundo plano e entra em ação assim que a vítima abre um app bancário.

A técnica central é a sobreposição: uma tela falsa de login surge por cima do app legítimo para capturar usuário e senha. Para burlar a confirmação em duas etapas, o RedWing intercepta os códigos por SMS e ainda encaminha chamadas recebidas para um número controlado pelo atacante.

Sinais de alerta

Todo o esquema depende de convencer a vítima a instalar o app e conceder permissões sensíveis. Por isso, alguns comportamentos merecem atenção redobrada:

  • Página de download parecida com loja oficial, mas acessada por link externo.
  • Pedido insistente de permissões de acessibilidade ou SMS sem motivo claro.
  • Aplicativo que desaparece da tela inicial logo após a instalação.
  • Telas de login bancário que aparecem de forma inesperada ou diferente do habitual.
  • Chamadas recebidas ou códigos por SMS ligados ao banco sem que você tenha solicitado.

Como se proteger

A defesa começa antes mesmo da instalação. Se o aplicativo chegou por um link no Telegram ou por uma página que apenas imita Google Play, Galaxy Store, AppGallery ou RuStore, trate o arquivo como suspeito. O RedWing prova que os criminosos estão investindo em páginas falsas cada vez mais convincentes.

Limitar permissões é igualmente decisivo. Um app comum não precisa de controle de acessibilidade, SMS, câmera, microfone e chamadas sem uma justificativa evidente. Para empresas, o caminho prático é revisar as políticas de acesso em celulares corporativos, reforçar autenticação forte e orientar colaboradores sobre apps que simulam lojas oficiais.

Checklist prático

  1. Não instale APKs recebidos por Telegram, links de terceiros ou páginas que apenas parecem lojas oficiais.
  2. Revise as permissões dos apps no Android, com atenção especial a acessibilidade, SMS, chamadas, câmera e microfone.
  3. Se um app bancário exibir uma tela de login estranha, feche o aplicativo e confirme o acesso pelos canais oficiais.
  4. Desconfie de apps que escondem o ícone após a instalação ou pedem várias permissões em sequência.
  5. Nas empresas, combine autenticação forte, gestão de acesso e treinamento para conter o impacto de credenciais roubadas.

Perguntas frequentes

O RedWing afeta qualquer celular?

A ameaça descrita pela Zimperium é voltada ao Android. O risco aparece quando a vítima instala o aplicativo malicioso e concede permissões sensíveis.

O RedWing rouba apenas senhas?

Não. Além de capturar credenciais com telas falsas, ele intercepta SMS, encaminha chamadas, registra teclas, controla a tela ao vivo e grava câmera e microfone.

Por que o uso do Telegram é importante?

Porque a operação usa um bot no Telegram para automatizar a criação do APK malicioso, somado ao modelo de assinatura e a um programa de indicação que amplia a distribuição.

Proteja sua empresa com a MFA2GO

O RedWing mostra que o roubo de credenciais no celular consegue burlar senhas e códigos por SMS. A MFA2GO ajuda sua empresa a fortalecer autenticação, controlar acessos e reduzir o impacto de contas comprometidas.

Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com

Fontes:
https://www.infosecurity-magazine.com/news/redwing-android-spyware-maas/

Compartilhe nas redes sociais:

Conteúdos relacionados