https://www.cotillon-de-fete.fr/bonus-casino-acceptant-les-joueurs-belges/
Tuesday, July 7, 2026

RedWing MaaS empaqueta el fraude bancario de Android como un servicio de alquiler de Telegram

TecnologíaRedWing MaaS empaqueta el fraude bancario de Android como un servicio de alquiler de Telegram

Una nueva operación de malware para Android llamada Malvís se alquila en Telegram como un servicio de fraude bancario ya preparado. Permite que incluso delincuentes poco capacitados se apoderen del teléfono de la víctima, roben sus inicios de sesión bancarios y capturen los códigos de un solo uso que protegen sus cuentas.

Los zLabs de Zimperium, que encontraron la operación, dicen que parece una nueva variante de Oblivion, una herramienta de alquiler de malware de 300 dólares al mes documentada a principios de este año.

RedWing se vende como un producto completo, en niveles de suscripción con descuentos por referencias, guías y videos instructivos, por lo que el comprador no necesita habilidades para escribir malware. Un bot de Telegram crea para cada comprador una aplicación personalizada a pedido.

Los investigadores dicen que una cantidad sustancial de los droppers y cargas útiles resultantes actualmente evaden las herramientas de seguridad convencionales.

La infección comienza con un enlace de phishing que abre una página falsa de una tienda de aplicaciones. El creador de cuentagotas del kit puede imitar Google Play, Galaxy Store y AppGallery, o crear páginas totalmente personalizadas, con calificaciones, reseñas y recuentos de descargas falsos. Luego, la página convence al usuario para que instale la aplicación desde fuera de la tienda oficial y apruebe sus permisos.

La aplicación presenta sus solicitudes de permiso una pantalla a la vez. Una página web de apariencia inofensiva se encuentra en segundo plano mientras las tarjetas emergentes solicitan permisos enmarcados como rutinarios: desactivar los límites de batería, configurar la aplicación como el administrador de mensajes de texto predeterminado y activar las notificaciones.

También solicita activar el servicio de Accesibilidad de Android, del que el malware abusa para leer la pantalla y controlar el teléfono.

Con esos permisos, RedWing tiene un amplio control del teléfono. Sus capacidades incluyen:

  • Pantallas de inicio de sesión falsas, llamadas superposiciones, que aparecen sobre aplicaciones bancarias y de criptomonedas reales para robar contraseñas.
  • Leer mensajes de texto entrantes para obtener contraseñas de un solo uso y usar Accesibilidad para eliminar códigos, números de tarjetas y PIN de la pantalla a medida que aparecen.
  • Cambia silenciosamente las llamadas entrantes de la víctima al atacante, utilizando un código de operador oculto (*21*) para activar el desvío de llamadas, lo que anula la verificación telefónica y las llamadas de verificación de fraude bancario.
  • Transmisión de pantalla en vivo y registrador de teclas, para que los operadores puedan ver y controlar el teléfono en tiempo real.
  • Encender la cámara y el micrófono, leer archivos, robar contactos y registros de llamadas y rastrear la ubicación.
  • Agrupar teléfonos infectados para inundar de tráfico un sitio web objetivo, un ataque de denegación de servicio.

Los compradores eligen sus propios objetivos y el malware los divide en dos. Las aplicaciones que observa a través de Accesibilidad están incorporadas en cada copia, lo que indica que se crea una aplicación nueva a pedido una vez que el comprador elige los objetivos. Los objetivos superpuestos, por el contrario, se pueden cambiar más tarde desde el panel de control sin tener que abrir una nueva aplicación.

Zimperium contó 82 instituciones objetivo en varios sectores, con un fuerte enfoque en las empresas financieras rusas, aunque esa lista puede cambiar en cualquier momento. La evidencia apunta al mercado ruso: una muestra utilizó una página falsa de RuStore de Rusia. Los expertos dicen que la operación parece estar vinculada a actores de amenazas rusos, pero no llegan a confirmarla.

RedWing encaja en un movimiento más amplio en los delitos de Android hacia el fraude en el dispositivo, donde los atacantes operan dentro de la propia sesión bancaria de la víctima en lugar de robar una contraseña para usarla en otro lugar.

Los investigadores detectaron el año pasado un kit de alquiler casi idéntico en el mercado ruso, Fantasy Hub. Las mismas técnicas aparecen en Albiriox, dirigido a más de 400 aplicaciones financieras, y Klopatra, que utilizaba control remoto oculto y superposiciones falsas para vaciar cuentas mientras las víctimas dormían.

RedWing no necesita ningún exploit de Android. Sólo funciona cuando un usuario instala la aplicación desde fuera de una tienda oficial y aprueba las indicaciones, por lo que la primera línea de defensa es lo que sucede en el momento de la instalación. Para particulares:

  • Instale aplicaciones sólo desde tiendas oficiales y trate como sospechosa cualquier “actualización” que llegue mediante un enlace o mensaje de texto.
  • No active “instalar desde fuentes desconocidas” y no otorgue accesibilidad, controlador de mensajes de texto predeterminado o acceso de exención de batería a una aplicación sin una razón clara para necesitarla.
  • Esté atento a una aplicación que oculta su ícono después de instalarse, un truco común para permanecer fuera de la vista.

En los dispositivos administrados, se pueden aplicar las mismas opciones de forma centralizada: bloquear la descarga y marcar las aplicaciones que solicitan Accesibilidad o la función de SMS predeterminada.

Los investigadores también han publicado indicadores de compromiso para los equipos que quieren buscarlo. Debido a que el kit se puede cambiar y sus objetivos superpuestos se pueden intercambiar desde un panel, el mismo código puede seguir apareciendo con nuevos nombres, por lo que los nombres de las aplicaciones son una mala manera de rastrearlo. El comportamiento es la señal, no el nombre.

Artículos más populares