Hack Alerta

Novo malware RedWing é oferecido como serviço bancário no Telegram

Malware RedWing é oferecido como serviço bancário no Telegram, permitindo roubo de credenciais e OTPs. Zimperium identifica variante do Oblivion, exigindo atenção à segurança móvel.

Descoberta e escopo da operação

Uma nova operação de malware Android chamada RedWing está sendo oferecida como um serviço bancário pronto para uso no Telegram. O malware permite que criminosos de baixa habilidade técnica tomem o controle do telefone de uma vítima, roubem credenciais bancárias e capturem códigos de autenticação de um único uso (OTP) que protegem as contas.

A descoberta foi realizada pelo laboratório zLabs da Zimperium, que identificou que o RedWing parece ser uma nova variante do Oblivion, uma ferramenta de malware alugada que custava US$ 300 por mês. A natureza do serviço (Malware as a Service - MaaS) democratiza o acesso a ferramentas de fraude bancária, ampliando o alcance das ameaças.

Funcionalidades e vetor de ataque

O malware RedWing é projetado para ser facilmente implantado e utilizado por criminosos sem conhecimento técnico profundo. Ele utiliza técnicas de engenharia social para enganar usuários e convencê-los a instalar aplicativos maliciosos, muitas vezes disfarçados de aplicativos legítimos ou atualizações de segurança.

Uma vez instalado, o malware solicita permissões de acessibilidade e sobreposição de tela para capturar informações sensíveis. Ele monitora a tela do dispositivo para identificar aplicativos bancários e, em seguida, intercepta as credenciais inseridas pelo usuário. Além disso, o malware pode ler notificações para capturar códigos OTP enviados por SMS ou aplicativos de autenticação.

Impacto e alcance da fraude

O impacto do RedWing é significativo, pois permite que criminosos acessem contas bancárias e realizem transações não autorizadas. A capacidade de capturar OTPs torna as medidas de segurança tradicionais, como autenticação de dois fatores, menos eficazes contra esta ameaça específica.

A distribuição do malware via Telegram facilita o alcance global, permitindo que grupos criminosos operem em diferentes jurisdições. A natureza do serviço MaaS significa que os desenvolvedores do malware podem focar em melhorar as ferramentas, enquanto os usuários alugam o acesso para cometer fraudes, criando um ecossistema de crime organizado mais robusto.

Medidas de mitigação recomendadas

Para se proteger contra o malware RedWing e operações similares, os usuários e organizações devem adotar as seguintes práticas:

  • Verificação de Fontes: Baixe aplicativos apenas de fontes confiáveis, como a Google Play Store, e evite links de instalação enviados por mensagens.
  • Monitoramento de Permissões: Revise as permissões solicitadas por aplicativos e negue acesso a recursos sensíveis, como acessibilidade e sobreposição de tela, se não forem necessários.
  • Autenticação Forte: Utilize métodos de autenticação que não dependam exclusivamente de SMS, como tokens de hardware ou aplicativos autenticadores.
  • Atualizações de Segurança: Mantenha o sistema operacional e os aplicativos atualizados para corrigir vulnerabilidades conhecidas.

Análise técnica detalhada

O malware RedWing utiliza técnicas de ofuscação para evitar a detecção por antivírus e sistemas de segurança móvel. Ele pode se comunicar com servidores de comando e controle para receber instruções e enviar dados roubados.

A variante do Oblivion sugere que os desenvolvedores estão iterando rapidamente sobre suas ferramentas para contornar as defesas de segurança. Isso inclui a atualização de assinaturas de malware e a adaptação a novas versões do Android. A capacidade de operar em segundo plano sem notificar o usuário torna a detecção manual difícil.

Implicações para a segurança móvel

A atividade do RedWing destaca a necessidade de uma abordagem de segurança móvel proativa. As organizações devem educar seus funcionários sobre os riscos de instalar aplicativos não verificados e a importância de proteger dispositivos móveis que acessam dados corporativos.

Além disso, a evolução do MaaS indica que a ameaça de fraude bancária móvel continuará a crescer. A colaboração entre fabricantes de dispositivos, desenvolvedores de aplicativos e autoridades de aplicação da lei é essencial para combater esse ecossistema criminoso.

O que os CISOs devem fazer imediatamente

Os CISOs devem revisar as políticas de segurança móvel e garantir que os dispositivos corporativos estejam protegidos por soluções de segurança móvel (MDM/EMM) que possam detectar e bloquear malware.

É crucial implementar monitoramento de tráfego de rede para identificar comunicações suspeitas de dispositivos móveis. Além disso, a conscientização de usuários sobre phishing e engenharia social deve ser reforçada para prevenir a instalação inicial do malware.

Perguntas frequentes

Como saber se meu Android foi infectado?
Procure por aplicativos desconhecidos, consumo excessivo de bateria ou dados, e notificações de segurança do sistema. Ferramentas de segurança móvel podem ajudar na detecção.

O RedWing afeta apenas bancos?
O foco é em bancos, mas o malware pode ser adaptado para roubar outros dados sensíveis, como credenciais de redes sociais e e-mails.

Devo desinstalar o aplicativo?
Se suspeitar de infecção, desinstale imediatamente o aplicativo suspeito e execute uma verificação completa com um antivírus confiável.


Baseado em publicação original de The Hacker News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.