RedWing: Android-MaaS для кражи данных и DDoS
Команда экспертов zLabs раскрыла детали новой сложной угрозы для устройств на базе Android. Вредоносное ПО, получившее название RedWing, функционирует по модели Malware-as-a-Service (MaaS) и обладает широким спектром шпионских и деструктивных возможностей, включая потоковую передачу экрана, перехват звонков и проведение DDoS-атак. Угроза примечательна не только технической сложностью, но и четко выстроенной бизнес-моделью, позволяющей даже начинающим злоумышленникам брать ее в аренду для атак на банковские и криптовалютные сервисы.
Модель Malware-as-a-Service: киберпреступность по подписке
Вредонос имеет известные связи с русскоязычными злоумышленниками и распространяется преимущественно через фишинговые сайты. Однако ключевая особенность RedWing кроется в его коммерческой инфраструктуре. Операторы предлагают доступ к вредоносу через специализированный канал в Telegram, где реализована бизнес-модель на основе подписки. Такая структура MaaS критически снижает порог входа: злоумышленникам любого уровня подготовки доступны инструменты для кастомизации APK-файлов и создания убедительных фишинговых пакетов.
Эксперты отмечают, что RedWing имеет заметное сходство с другим вредоносным ПО — oblivion, особенно в функциональной части загрузчика и механизмах наложения интерфейсов (overlays).
Технический арсенал: от загрузчика до полного контроля
Попадая на устройство, RedWing запускает процесс онбординга, обманом заставляя жертву выдать критические разрешения. Как только доступ получен, вредонос обходит стандартные системы обнаружения благодаря множеству техник уклонения и закрепляется в системе для непрерывного наблюдения. В основе его функциональности лежит мощный загрузчик, позволяющий:
- Создавать фишинговые макеты, которые с высокой точностью имитируют интерфейсы легитимных приложений для кражи учетных данных.
- Отключать оптимизацию батареи, чтобы обеспечить бесперебойную фоновую работу шпионского модуля.
- Перехватывать управление SMS-коммуникациями для чтения переписки и обхода двухфакторной аутентификации (2FA).
После инъекции вредоносное ПО получает несанкционированный доступ к личным данным пользователя: контактам, журналам вызовов и файловой системе. Масштабная эксфильтрация данных происходит скрытно, а удаленное управление позволяет оператору в любой момент изменить настройки зараженного гаджета.
Операционная сложность и слежка в реальном времени
RedWing выходит за рамки классического банковского трояна. Вредонос способен блокировать экран устройства и активировать потоковую передачу происходящего на дисплее в режиме реального времени. Более того, подтверждена функциональность незаметной записи окружающего звука, что фактически превращает смартфон жертвы в портативное устройство слежки.
Особую опасность представляет модуль перехвата коммуникаций. В сценариях, нацеленных на подрыв механизмов безопасности, RedWing способен пересылать входящие звонки на подконтрольные злоумышленникам номера. Это позволяет захватывать конфиденциальную информацию и коды верификации непосредственно у абонентов.
Помимо шпионажа, зараженные аппараты могут быть использованы как ресурс для проведения распределенных атак типа «отказ в обслуживании» (Distributed Denial-of-Service, DDoS). Используя вычислительные мощности скомпрометированных Android-устройств, преступники могут атаковать сторонние онлайн-сервисы.
Повышенный риск для финансового сектора
Специалисты zLabs подчеркивают, что RedWing представляет собой многогранную угрозу именно благодаря симбиозу технических возможностей и отлаженной операционной модели. Сочетание современных методов шифрования и изощренной социальной инженерии делает эту угрозу крайне актуальной для пользователей, активно работающих с мобильным банкингом и криптовалютными транзакциями. Эксперты призывают пользователей и организации к усилению мер мобильной безопасности для противодействия данному типу мобильного шпионского ПО.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



