Spyware alugado no Telegram facilita roubo de senhas bancárias e códigos por SMS.
Pesquisadores da Zimperium identificaram o RedWing, um spyware para Android vendido como serviço dentro do Telegram. A ferramenta foi criada para roubar credenciais de aplicativos bancários e de criptomoedas. Segundo a análise, a ameaça mira 82 instituições, a maioria financeiras russas, e consegue interceptar SMS, desviar chamadas e gravar tela, câmera e microfone.
O RedWing é uma nova linhagem de spyware para Android identificada pelo zLabs, equipe de pesquisa da Zimperium. A operação foi classificada como malware como serviço: em vez de exigir domínio técnico, ela entrega documentação, vídeos tutoriais e um modelo de assinatura para quem quer atacar sem escrever uma linha de código.
O que torna o caso mais sério é o foco em aplicativos bancários e de criptomoedas. A Zimperium contabilizou 82 instituições na lista de alvos, a maioria ligada ao setor financeiro russo. A empresa associou a operação a atores de ameaça russos e alertou que muitas amostras ainda escapam de ferramentas de segurança convencionais.
A distribuição do RedWing passa por um bot no Telegram, responsável por montar e disfarçar o APK malicioso para cada comprador. Os operadores também produzem páginas falsas de lojas de aplicativos, copiando Google Play, Galaxy Store, AppGallery ou RuStore, com avaliações e contadores de download fabricados para dar aparência de legitimidade.
Depois da instalação, o RedWing conduz o usuário por telas de permissão que parecem parte de uma configuração comum. O alvo é o serviço de acessibilidade do Android e a caixa de SMS. Com esses acessos, o malware esconde o próprio ícone, permanece em segundo plano e entra em ação assim que a vítima abre um app bancário.
A técnica central é a sobreposição: uma tela falsa de login surge por cima do app legítimo para capturar usuário e senha. Para burlar a confirmação em duas etapas, o RedWing intercepta os códigos por SMS e ainda encaminha chamadas recebidas para um número controlado pelo atacante.
Todo o esquema depende de convencer a vítima a instalar o app e conceder permissões sensíveis. Por isso, alguns comportamentos merecem atenção redobrada:
A defesa começa antes mesmo da instalação. Se o aplicativo chegou por um link no Telegram ou por uma página que apenas imita Google Play, Galaxy Store, AppGallery ou RuStore, trate o arquivo como suspeito. O RedWing prova que os criminosos estão investindo em páginas falsas cada vez mais convincentes.
Limitar permissões é igualmente decisivo. Um app comum não precisa de controle de acessibilidade, SMS, câmera, microfone e chamadas sem uma justificativa evidente. Para empresas, o caminho prático é revisar as políticas de acesso em celulares corporativos, reforçar autenticação forte e orientar colaboradores sobre apps que simulam lojas oficiais.
A ameaça descrita pela Zimperium é voltada ao Android. O risco aparece quando a vítima instala o aplicativo malicioso e concede permissões sensíveis.
Não. Além de capturar credenciais com telas falsas, ele intercepta SMS, encaminha chamadas, registra teclas, controla a tela ao vivo e grava câmera e microfone.
Porque a operação usa um bot no Telegram para automatizar a criação do APK malicioso, somado ao modelo de assinatura e a um programa de indicação que amplia a distribuição.
O RedWing mostra que o roubo de credenciais no celular consegue burlar senhas e códigos por SMS. A MFA2GO ajuda sua empresa a fortalecer autenticação, controlar acessos e reduzir o impacto de contas comprometidas.
Conheca: Cofre Corporativo de MFA, Gestao de Acesso, Autenticacao Forte. mfa2go.com
Fontes:
https://www.infosecurity-magazine.com/news/redwing-android-spyware-maas/