RedWing MaaS 将 Android 银行欺诈打包为 Telegram 租赁服务

RedWing MaaS 将 Android 银行欺诈打包为 Telegram 租赁服务

导语:Zimperium zLabs 披露了一个名为 RedWing 的新型 Android 恶意软件即服务(MaaS)行动,该行动通过 Telegram 以租赁方式销售,使低技能犯罪分子也能实施银行欺诈,重点针对 82 家机构,其中以俄罗斯金融机构为主。

一个名为 RedWing 的新型 Android 恶意软件行动正以即用型银行欺诈服务的形式在 Telegram 上出租。它让即使技术水平较低的犯罪分子也能接管受害者手机、窃取其银行登录凭证,并截获保护账户的一次性验证码。

发现该行动的 Zimperium zLabs 表示,它看起来像是 Oblivion 的一个新变种——Oblivion 是一款今年早些时候被记录的月租 300 美元的恶意软件租赁工具。

RedWing 作为完整产品销售,提供订阅套餐、推荐折扣、指南和操作视频,因此购买者无需具备恶意软件开发技能。一个 Telegram 机器人会根据需求为每位购买者构建定制应用。

研究人员表示,由此产生的大量 dropper(投放器)和 payload(载荷)目前能够规避传统安全工具的检测。

感染从一条钓鱼链接开始,该链接会打开一个伪造的应用商店页面。该套件的 dropper 构建器可以模仿 Google Play、Galaxy Store 和 AppGallery,也可以构建完全自定义的页面,并配有虚假的评分、评论和下载量。随后该页面会诱导用户从官方商店之外安装应用并授予其权限。

该应用将权限请求拆分为逐屏展示。一个看似无害的网页在后台运行,而弹窗卡片则以日常操作的名义请求权限:关闭电池限制、将应用设为默认短信处理程序,以及开启通知。

它还会请求开启 Android 的无障碍服务(Accessibility),而恶意软件常滥用该服务来读取屏幕内容并控制手机。

原文配图

获得这些权限后,RedWing 即可对手机进行广泛控制。购买者可自行选择目标,恶意软件定向分为两类:通过无障碍服务监控的应用被硬编码进每个副本中,购买者选定目标后就会按需重新构建一个新应用;叠加层(overlay)目标则可在之后通过控制面板更换,无需推送新应用。

Zimperium 统计出 82 家被定向攻击的机构,涵盖多个行业,其中重点针对俄罗斯金融机构,但该名单可随时变动。证据指向俄罗斯市场:其中一个样本使用了针对俄罗斯 RuStore 的伪造页面。专家表示,该行动似乎与俄罗斯威胁行为者有关联,但未最终确认。

RedWing 契合 Android 犯罪向设备端欺诈(on-device fraud)转变的更广泛趋势——攻击者在受害者自身的银行会话内操作,而不是窃取密码后在其他地方使用。

研究人员去年曾标记过一个几乎相同的俄罗斯市场租赁套件 Fantasy Hub。同样的技术也出现在针对 400 多个金融应用的 Albiriox,以及利用隐藏远程控制和伪造叠加层在受害者熟睡时清空账户的 Klopatra 中。

RedWing 不需要 Android 漏洞。它仅在用户从官方商店之外安装应用并同意相关提示时才会生效,因此第一道防线在于安装时发生的行为。在受管设备上,同样的选择可以通过集中策略强制执行:阻止 sideloading(旁加载),并标记那些请求无障碍服务或默认短信角色的应用。

研究人员还发布了入侵指标(IOC),供希望对其进行追踪的团队参考。由于该套件可以重新换肤,其叠加层目标也可从面板更换,相同的代码可能以新名称反复出现,因此应用名称并非有效的追踪方式。真正能识别它的信号是行为,而非名称。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/redwing-maas-packages-android-bank.html

作者:info@thehackernews.com (The Hacker News)