Uma nova operação de malware para Android chamada RedWing está sendo alugada no Telegram como um serviço pronto para fraude bancária. A ferramenta permite que até criminosos com pouca qualificação técnica assumam o controle do celular da vítima, roubem seus logins bancários e capturem os códigos de uso único que protegem suas contas.
O zLabs da Zimperium, que descobriu a operação, afirma que ela parece ser uma nova variante do Oblivion, uma ferramenta de Malware como Serviço (MaaS) alugada por 300 dólares por mês e documentada no início deste ano.
O RedWing é vendido como um produto completo, com planos de assinatura que incluem descontos por indicação, guias e vídeos explicativos, de modo que o comprador não precisa ter nenhuma habilidade para escrever malware. Um bot no Telegram monta um aplicativo personalizado sob demanda para cada comprador.
Os pesquisadores dizem que um número considerável dos droppers e payloads resultantes consegue escapar dos ferramentas de segurança convencionais.
A infecção começa com um link de phishing que abre uma página falsa de loja de aplicativos. O construtor de droppers do kit consegue imitar o Google Play, a Galaxy Store e a AppGallery, ou criar páginas totalmente personalizadas, com avaliações falsas, comentários e contadores de download. A página então induz o usuário a instalar o aplicativo fora da loja oficial e aprovar suas permissões.
O aplicativo solicita as permissões uma tela por vez. Uma página da web aparentemente inofensiva fica em segundo plano enquanto cartões pop-up solicitam permissões enquadradas como rotineiras: desativar limites de bateria, definir o aplicativo como manipulador padrão de mensagens de texto e ativar notificações.
Ele também pede para ativar o serviço de Acessibilidade do Android, que o malware abusa para ler a tela e controlar o telefone.
Com essas permissões, o RedWing tem amplo controle do telefone. Suas capacidades incluem:
- Telas de login falsas, chamadas de overlays, que aparecem sobre os aplicativos reais de bancos e criptomoedas para roubar senhas.
- Leitura de mensagens de texto recebidas para códigos de uso único, e uso da Acessibilidade para capturar códigos, números de cartão e PINs da tela conforme aparecem.
- Redirecionamento silencioso das chamadas recebidas da vítima para o atacante, usando um código de carrier oculto (*21*) para ativar o encaminhamento de chamadas, o que elimina a verificação baseada em telefone e as ligações de verificação de fraude bancária.
- Streaming de tela em tempo real e keylogger, para que os operadores possam observar e controlar o telefone ao vivo.
- Ativação da câmera e do microfone, leitura de arquivos, roubo de contatos e registros de chamadas, e rastreamento de localização.
- Agrupamento de telefones infectados para inundar um site alvo com tráfego, um ataque de negação de serviço.
Os compradores escolhem seus próprios alvos, e o malware divide seu direcionamento em duas partes. Os aplicativos que ele monitora por meio da Acessibilidade são incorporados a cada cópia, o que indica que um novo aplicativo é criado sob medida assim que o comprador escolhe os alvos. Os alvos de overlay, por outro lado, podem ser alterados posteriormente a partir do painel de controle sem distribuir um novo aplicativo.
A Zimperium contou 82 instituições-alvo em vários setores, com forte foco em empresas financeiras russas, embora essa lista possa mudar a qualquer momento. As evidências apontam para o mercado russo: uma amostra usou uma página falsa para a loja de aplicativos russa RuStore. Os especialistas dizem que a operação parece estar vinculada a atores de ameaças russos, mas evitam confirmar isso.
O RedWing se encaixa em uma tendência mais ampla no crime Android em direção à fraude no dispositivo, onde os atacantes operam dentro da própria sessão bancária da vítima em vez de roubar uma senha para usar em outro lugar.
Os pesquisadores sinalizaram um kit de aluguel quase idêntico para o mercado russo, o Fantasy Hub, no ano passado. As mesmas técnicas aparecem no Albirinox, direcionado a mais de 400 aplicativos financeiros, e no Klopatra, que usava controle remoto oculto e overlays falsos para drenar contas enquanto as vítimas dormiam.
O RedWing não precisa de exploit para Android. Funciona apenas quando o usuário instala o aplicativo fora de uma loja oficial e aprova os prompts, então a primeira linha de defesa é o que acontece no momento da instalação. Para indivíduos:
- Instale aplicativos apenas de lojas oficiais e trate qualquer "atualização" que chegue por link ou mensagem de texto como suspeita.
- Não ative a opção "instalar de fontes desconhecidas" e não conceda acesso à Acessibilidade, ao manipulador padrão de mensagens de texto ou à exemptão de bateria a um aplicativo sem um motivo claro para precisar disso.
- Fique atento a um aplicativo que oculta seu ícone após a instalação, um truque comum para manter-se fora da vista.
Em dispositivos gerenciados, as mesmas escolhas podem ser impostas centralmente: bloqueie a instalação lateral e sinalize aplicativos que solicitem Acessibilidade ou a função de SMS padrão.
Os pesquisadores também publicaram indicadores de comprometimento para equipes que desejam rastrear essa ameaça. Como o kit pode ser remodelado e seus alvos de overlay trocados a partir de um painel, o mesmo código pode continuar reaparecendo sob novos nomes, então nomes de aplicativos são uma forma ruim de rastreá-lo. O comportamento é o sinal, não o nome.