82 целевые организации нашли исследователи Zimperium в кампании RedWing. Это не просто вредоносная программа, а арендный набор для банковского мошенничества, который продают через Telegram и собирают под конкретного покупателя.

Схема проста: жертву ведут на поддельную страницу, после установки приложение просит доступы по одному и получает контроль над телефоном. Дальше RedWing перехватывает логины, одноразовые коды, звонки и даже содержимое экрана.

Какую проблему решаем

RedWing бьёт по самой уязвимой точке — по телефону, через который люди подтверждают вход в банк и операции. Если злоумышленник получает доступ к экрану, SMS, звонкам и специальным системным функциям Android, обычная двухфакторная защита перестаёт работать как надо.

Такие атаки опасны ещё и тем, что они не требуют сложного взлома. Пользователь сам ставит приложение, сам даёт разрешения, а дальше вредонос маскируется под обычный сервис.

Что подготовить

Для личного телефона хватит трёх вещей: здравого скепсиса к ссылкам из сообщений, привычки ставить приложения только из официальных магазинов и контроля разрешений. Если устройство рабочее, стоит отдельно проверить, не даёт ли сотрудник приложению доступ к SMS, звонкам или специальным функциям доступа.

Полезно заранее включить блокировку экрана, обновления системы и уведомления о входе в банковские аккаунты. Если вам регулярно приходят подозрительные ссылки, держите под рукой инструкцию по антифишингу — например, как распознать поддельную страницу входа.

Пошаговые действия

один. Не ставьте приложение по ссылке из сообщения

RedWing начинается с фишинговой ссылки, которая ведёт на поддельную страницу магазина приложений. Мошенники копируют внешний вид популярных площадок, добавляют фальшивые рейтинги и отзывы, а затем уговаривают установить файл вручную.

Любая страница, которая просит скачать приложение «мимо магазина», — уже красный флаг. Особенно если ссылку прислали в чате или по SMS.

два. Не выдавайте лишние разрешения

Злоумышленники просят выдать доступы по одному: снять ограничения батареи, назначить приложение по умолчанию для SMS, включить уведомления и сервис специальных возможностей. Это не обычный набор для банка, мессенджера или игры.

Сервис специальных возможностей нужен далеко не каждому приложению. Если он внезапно понадобился «карманному фонарику» или неизвестному клиенту, приложение лучше удалить.

три. Следите за признаками скрытой активности

RedWing умеет прятать значок после установки, подменять экран входа, читать входящие сообщения и перехватывать звонки. Он может включить переадресацию вызовов через скрытый операторский код и увести звонки, которые банк использует для проверки личности.

Если приложение внезапно исчезло с рабочего стола, а телефон начал вести себя странно — это повод срочно проверить список установленных программ и активные разрешения.

четыре. Усильте защиту банковского входа

Финансовые приложения лучше держать отдельно от сомнительного софта и не ставить на тот же телефон приложения, которые запрашивают слишком много прав. Для рабочих устройств администратор может централизованно запретить установку из неизвестных источников и отслеживать приложения с доступом к SMS и Accessibility.

Если вам нужно разобраться, как вредоносные наборы закрепляются на устройствах и крадут секреты, полезно посмотреть разбор про кражу паролей из конфигов и секретов.

пять. Используйте дополнительный слой защиты в чужой сети

Если вы входите в интернет с чужого Wi‑Fi в отеле, коворкинге или аэропорту, для личных задач можно подключать сервис Freedome для шифрования трафика как дополнительный слой защиты. Это не отменяет осторожность с ссылками и приложениями, но снижает риск, что кто-то рядом увидит ваш трафик в открытой сети.

Важно понимать: сам RedWing живёт не в сети, а на телефоне. Поэтому главный упор всё равно нужен на проверку приложений и разрешений.

Как проверить себя

Откройте настройки Android и проверьте три пункта: какие приложения имеют доступ к SMS, какие управляют специальными возможностями и какие стоят как приложение по умолчанию для сообщений. Сюда же стоит заглянуть в список программ с правами администратора устройства.

Дальше проверьте банковские приложения: нет ли неожиданных всплывающих окон, странных экранов входа и запросов на повторную авторизацию. Если банк начал просить подтвердить операции необычным способом, свяжитесь с поддержкой через официальный номер, а не через окно на экране.

Что делать, если не получилось

Если вы уже установили подозрительное приложение, не откладывайте. Отключите интернет, удалите программу, проверьте разрешения, смените пароли с другого чистого устройства и сообщите в банк о возможной компрометации.

Затем проверьте, не включена ли переадресация вызовов, и просмотрите историю входов в финансовые сервисы. Если на телефоне остались признаки скрытого контроля, проще сделать резервную копию важных данных и сбросить устройство до заводских настроек.

Практический чек-лист

  • Не открывать ссылки на установку приложений из сообщений и писем.
  • Проверить, какие приложения имеют доступ к SMS и специальным возможностям Android.
  • Удалить неизвестные приложения, которые скрывают значок или просят слишком много прав.
  • Включить обновления системы и банковских приложений.
  • Проверить, не настроена ли переадресация звонков.
  • Сообщить в банк, если на экране появились странные окна входа или запросы на повторное подтверждение.
  • Для работы вне дома использовать Freedome как дополнительный слой шифрования трафика.
Поделиться: