RedWing: Android-MaaS для кражи данных и DDoS

Команда экспертов zLabs раскрыла детали новой сложной угрозы для устройств на базе Android. Вредоносное ПО, получившее название RedWing, функционирует по модели Malware-as-a-Service (MaaS) и обладает широким спектром шпионских и деструктивных возможностей, включая потоковую передачу экрана, перехват звонков и проведение DDoS-атак. Угроза примечательна не только технической сложностью, но и четко выстроенной бизнес-моделью, позволяющей даже начинающим злоумышленникам брать ее в аренду для атак на банковские и криптовалютные сервисы.

Модель Malware-as-a-Service: киберпреступность по подписке

Вредонос имеет известные связи с русскоязычными злоумышленниками и распространяется преимущественно через фишинговые сайты. Однако ключевая особенность RedWing кроется в его коммерческой инфраструктуре. Операторы предлагают доступ к вредоносу через специализированный канал в Telegram, где реализована бизнес-модель на основе подписки. Такая структура MaaS критически снижает порог входа: злоумышленникам любого уровня подготовки доступны инструменты для кастомизации APK-файлов и создания убедительных фишинговых пакетов.

Эксперты отмечают, что RedWing имеет заметное сходство с другим вредоносным ПО — oblivion, особенно в функциональной части загрузчика и механизмах наложения интерфейсов (overlays).

Технический арсенал: от загрузчика до полного контроля

Попадая на устройство, RedWing запускает процесс онбординга, обманом заставляя жертву выдать критические разрешения. Как только доступ получен, вредонос обходит стандартные системы обнаружения благодаря множеству техник уклонения и закрепляется в системе для непрерывного наблюдения. В основе его функциональности лежит мощный загрузчик, позволяющий:

  • Создавать фишинговые макеты, которые с высокой точностью имитируют интерфейсы легитимных приложений для кражи учетных данных.
  • Отключать оптимизацию батареи, чтобы обеспечить бесперебойную фоновую работу шпионского модуля.
  • Перехватывать управление SMS-коммуникациями для чтения переписки и обхода двухфакторной аутентификации (2FA).

После инъекции вредоносное ПО получает несанкционированный доступ к личным данным пользователя: контактам, журналам вызовов и файловой системе. Масштабная эксфильтрация данных происходит скрытно, а удаленное управление позволяет оператору в любой момент изменить настройки зараженного гаджета.

Операционная сложность и слежка в реальном времени

RedWing выходит за рамки классического банковского трояна. Вредонос способен блокировать экран устройства и активировать потоковую передачу происходящего на дисплее в режиме реального времени. Более того, подтверждена функциональность незаметной записи окружающего звука, что фактически превращает смартфон жертвы в портативное устройство слежки.

Особую опасность представляет модуль перехвата коммуникаций. В сценариях, нацеленных на подрыв механизмов безопасности, RedWing способен пересылать входящие звонки на подконтрольные злоумышленникам номера. Это позволяет захватывать конфиденциальную информацию и коды верификации непосредственно у абонентов.

Помимо шпионажа, зараженные аппараты могут быть использованы как ресурс для проведения распределенных атак типа «отказ в обслуживании» (Distributed Denial-of-Service, DDoS). Используя вычислительные мощности скомпрометированных Android-устройств, преступники могут атаковать сторонние онлайн-сервисы.

Повышенный риск для финансового сектора

Специалисты zLabs подчеркивают, что RedWing представляет собой многогранную угрозу именно благодаря симбиозу технических возможностей и отлаженной операционной модели. Сочетание современных методов шифрования и изощренной социальной инженерии делает эту угрозу крайне актуальной для пользователей, активно работающих с мобильным банкингом и криптовалютными транзакциями. Эксперты призывают пользователей и организации к усилению мер мобильной безопасности для противодействия данному типу мобильного шпионского ПО.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: