Telegram租用的RedWing恶意软件,可致任何人获取Android间谍工具

admin 2026-07-12 05:59:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: RedWing是一款通过Telegram以订阅制出售的Android间谍软件,与俄罗斯威胁组织关联,技术源自Oblivion恶意软件家族。它采用MaaS模式,提供定制APK生成、多阶段渗透、权限劫持、隐蔽通信劫持及远程监控功能,可窃取银行凭证、拦截短信、激活来电转移并组成僵尸网络发动DDoS攻击。防御关键在于避免从非官方渠道安装应用并谨慎授予权限。 综合评分: 80 文章分类: 恶意软件,威胁情报,移动安全,社会工程学,僵尸网络


cover_image

Telegram租用的RedWing恶意软件,可致任何人获取Android间谍工具

FreeBuf

2026年7月10日 19:20 上海

在小说阅读器读本章

去阅读

Part01

月费低于咖啡订阅的

Android银行木马

Zimperium的zLabs团队发现名为RedWing的Android间谍软件通过Telegram以订阅制形式出售,该恶意软件与俄罗斯威胁组织存在关联,其技术根源可追溯至Oblivion恶意软件家族。该服务提供完整文档、教学视频、推荐奖励计划,以及按需生成定制恶意应用的机器人系统,使用者无需具备任何恶意代码编写能力。

Zimperium在报告中指出:”RedWing绝非普通网络售卖的简易恶意软件,而是配备卖家文档、视频教程和机器人订阅模式的成熟商业级MaaS(恶意软件即服务)产品,极大降低了攻击新手的入门门槛。作为佐证,其APK定制化/混淆/生成功能均可通过Telegram全流程实现。”

Part02

多阶段渗透与权限劫持机制

感染始于钓鱼链接引导至伪造应用商店页面。其安装包生成器可完美仿冒Google Play、三星Galaxy Store或华为AppGallery,包括虚假评分、评论及下载量数据。

报告进一步披露:”其C2控制面板配备精密的’引导构造器’。在’窃密模块’配置中,攻击者可部署具有欺骗性的’WebView+卡片’界面。该机制在后台加载看似正常的网页建立可信度,同时从屏幕底部依次叠加定制化的权限诱导卡片。通过精准设计的社会工程话术,恶意软件胁迫用户授予三项关键系统权限:禁用电池优化(确保后台持续运行)、设置应用为默认短信处理器(用于拦截双因素认证码)以及获取通知读取权限。”

安装后,恶意软件会分步引导受害者完成”常规设置”,依次获取上述权限。一旦得逞,RedWing将获得深度系统控制权:覆盖银行及加密货币应用界面的虚假登录窗口窃取凭证、拦截短信获取一次性验证码,并利用Android无障碍服务实时捕获屏幕上显示的PIN码、银行卡号及CVV安全码。

Part03

隐蔽通信劫持与远程监控

该恶意代码还会静默启用运营商隐藏代码_21_激活来电转移,将所有呼入电话重定向至攻击者控制的号码,此举可同时规避电话双因素认证和银行反欺诈呼叫提醒。

研究人员发现其监控能力更为惊人:RedWing可通过攻击者服务器发送指令远程激活受害者设备的摄像头和麦克风。报告详细说明:”恶意软件执行特定命令实现远程监控,例如指令调用设备摄像头拍摄照片,指令则通过MediaRecorder API录制环境音频。所有录音参数(包括持续时间)均由攻击者远程配置。”

攻击者还能通过VNC实现实时屏幕监控、获取键盘记录、访问设备全部文件、通讯录、通话记录及定位信息。

Part04

模块化架构与动态目标更新

技术架构分析揭示了RedWing的运作特点:其通过无障碍服务监控的应用程序列表被直接编译进每个定制APK,意味着每次买家指定目标时都会在服务端生成新安装包;而界面覆盖攻击目标则可通过控制面板随时更新,无需重新分发应用。

Zimperium已识别出82个横跨多行业的攻击目标,其中俄罗斯金融机构占多数。某样本使用伪造的RuStore页面,但攻击者仪表盘可随时调整目标列表。

Part05

防御建议与僵尸网络功能

RedWing无需利用任何Android漏洞(CVE编号),其完全依赖用户从非官方渠道安装应用并批准权限请求。关键防御措施包括:不安装短信或即时通讯应用发送的链接应用;拒绝授予无障碍服务或默认短信权限给无明确需求的应用;警惕安装后隐藏图标的应用。企业设备可集中禁用侧载功能并自动标记可疑权限请求。

值得注意的是,RedWing还能将受感染Android设备组成僵尸网络发动协同DDoS攻击。攻击者通过控制面板可同时操纵多台被控手机对目标网站或服务器发起流量洪泛攻击,在间谍窃密功能外又添破坏性能力。

Part06

MaaS模式带来的新型威胁

由于攻击者可通过控制面板随时更换应用皮肤和攻击目标,仅凭应用名称难以识别,行为特征才是关键指标。

报告总结道:”RedWing等恶意软件即服务(MaaS)的迅速崛起,表明攻击者能轻易武器化合法Android组件实现完全设备控制。与传统银行木马仅依赖界面覆盖不同,RedWing整合了定制安装包、实时屏幕流传输、滥用短信处理器角色和无障碍服务等功能,实现数据窃取和实时应用仿冒。这种社会工程与来电劫持的结合,使其在BYOD和消费级环境中尤为危险——这些环境通常默认应用商店的可信度。”

参考来源:

Telegram-Hosted RedWing Malware Lets Anyone Rent Android Spyware Tools

Telegram-Hosted RedWing Malware Lets Anyone Rent Android Spyware Tools

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《Telegram租用的RedWing恶意软件,可致任何人获取Android间谍工具》

评论:0   参与:  0