Een nieuwe Android-malware-operatie genaamd Roodvleugel wordt op Telegram verhuurd als een kant-en-klare dienst voor bankfraude. Hiermee kunnen zelfs laagopgeleide criminelen de telefoon van een slachtoffer overnemen, de logingegevens van hun bank stelen en de eenmalige codes vastleggen die hun rekeningen beschermen.
Zimperium’s zLabs, die de operatie ontdekte, zegt dat het lijkt op een nieuwe variant van Oblivion, een huur-een-malware-tool van $ 300 per maand die eerder dit jaar werd gedocumenteerd.
RedWing wordt verkocht als een compleet product, in abonnementsniveaus met verwijzingskortingen, handleidingen en instructievideo’s, zodat een koper geen vaardigheden op het gebied van het schrijven van malware nodig heeft. Een Telegram-bot bouwt voor elke koper op aanvraag een app op maat.
Onderzoekers zeggen dat een aanzienlijk aantal van de resulterende droppers en payloads momenteel conventionele beveiligingstools omzeilen.
De infectie begint met een phishing-link die een nep-app-store-pagina opent. De dropper-builder van de kit kan Google Play, de Galaxy Store en AppGallery nabootsen, of volledig aangepaste pagina’s bouwen, compleet met valse beoordelingen, recensies en downloadaantallen. De pagina verleidt de gebruiker vervolgens om de app van buiten de officiële winkel te installeren en de machtigingen ervan goed te keuren.
De app voert de toestemmingsverzoeken scherm voor scherm uit. Een onschuldig ogende webpagina bevindt zich op de achtergrond, terwijl pop-upkaarten om machtigingen vragen die als routine worden beschouwd: schakel de batterijlimieten uit, stel de app in als de standaard sms-berichtenhandler en schakel meldingen in.
Er wordt ook gevraagd om de toegankelijkheidsservice van Android in te schakelen, die door malware wordt misbruikt om het scherm te lezen en de telefoon te bedienen.

Met deze machtigingen heeft RedWing brede controle over de telefoon. De mogelijkheden omvatten:
- Valse inlogschermen, overlays genoemd, die over echte bank- en cryptocurrency-apps verschijnen om wachtwoorden te stelen.
- Inkomende sms-berichten voor eenmalige toegangscodes lezen en Toegankelijkheid gebruiken om codes, kaartnummers en pincodes van het scherm te verwijderen zodra ze verschijnen.
- Het stilletjes doorschakelen van de inkomende oproepen van het slachtoffer naar de aanvaller, met behulp van een verborgen providercode (*21*) om het doorschakelen van oproepen in te schakelen, waardoor telefoongebaseerde verificatie en controle op bankfraude worden uitgeschakeld.
- Live schermstreaming en een keylogger, zodat operators de telefoon in realtime kunnen bekijken en bedienen.
- Camera en microfoon inschakelen, bestanden lezen, contacten en oproeplogboeken stelen en locatie volgen.
- Het bundelen van geïnfecteerde telefoons om een doelwebsite te overspoelen met verkeer, een denial-of-service-aanval.
Kopers kiezen hun eigen doelwitten en de malware splitst zijn doelwitten in tweeën. De apps die via Toegankelijkheid worden bekeken, worden in elk exemplaar ingebakken, wat erop wijst dat er een nieuwe app wordt gebouwd op bestelling zodra een koper doelen kiest. De overlaydoelen kunnen daarentegen later via het bedieningspaneel worden gewijzigd zonder een nieuwe app te hoeven pushen.

Zimperium telde 82 beoogde instellingen in verschillende sectoren, met een sterke focus op Russische financiële bedrijven, hoewel die lijst op elk moment kan veranderen. Het bewijs wijst op de Russische markt: één monster gebruikte een neppagina voor het Russische RuStore. Deskundigen zeggen dat de operatie verband lijkt te houden met Russische dreigingsactoren, maar dat ze dit niet kunnen bevestigen.
RedWing past in een bredere beweging van Android-criminaliteit richting fraude op het apparaat, waarbij aanvallers opereren binnen de eigen banksessie van het slachtoffer in plaats van een wachtwoord te stelen om elders te gebruiken.
Onderzoekers hebben vorig jaar een vrijwel identiek verhuurpakket voor de Russische markt gemarkeerd, Fantasy Hub. Dezelfde technieken duiken op in Albiriox, gericht op meer dan 400 financiële apps, en Klopatra, dat verborgen afstandsbedieningen en nep-overlays gebruikte om accounts leeg te maken terwijl de slachtoffers sliepen.
RedWing heeft geen Android-exploit nodig. Het werkt alleen wanneer een gebruiker de app van buiten een officiële winkel installeert en de aanwijzingen goedkeurt, dus de eerste verdedigingslinie is wat er gebeurt tijdens de installatie. Voor particulieren:
- Installeer apps alleen vanuit officiële winkels en behandel elke “update” die via een link of sms binnenkomt als verdacht.
- Schakel ‘Installeren vanuit onbekende bronnen’ niet in en verleen geen toegang tot een app via Toegankelijkheid, standaard sms-berichten of batterijvrijstelling zonder duidelijke reden waarom deze nodig is.
- Kijk uit naar een app die het pictogram verbergt nadat deze is geïnstalleerd, een veelgebruikte truc om uit het zicht te blijven.
Op beheerde apparaten kunnen dezelfde keuzes centraal worden afgedwongen: sideloading blokkeren en apps markeren die om toegankelijkheid of de standaard-sms-rol vragen.
Onderzoekers hebben ook indicatoren van compromissen gepubliceerd voor teams die erop willen jagen. Omdat de kit een nieuwe skin kan krijgen en de overlay-doelen vanuit een paneel kunnen worden verwisseld, kan dezelfde code onder nieuwe namen blijven verschijnen, dus app-namen zijn een slechte manier om deze te volgen. Het gedrag is het signaal, niet de naam.