RedWing no Telegram, saiba como age
Operação transforma fraude bancária em serviço pronto para criminosos com pouca experiência.
Resumo rapido
O RedWing é uma operação de malware para Android vendida como serviço no Telegram. Segundo a Zimperium zLabs, ele permite criar aplicativos falsos para roubar logins bancários, mensagens SMS e códigos de verificação. O risco cresce quando a vítima instala apps fora das lojas oficiais e concede permissões sensíveis.
Neste artigo voce vai aprender:
- O que é o RedWing e por que ele preocupa usuários de Android
- Como páginas falsas imitam Google Play, Galaxy Store e AppGallery
- Quais permissões dão controle amplo do telefone ao criminoso
- Quais sinais indicam tentativa de golpe no celular
- O que fazer para reduzir o risco de fraude bancária
O que é o RedWing
O RedWing é uma nova operação de malware para Android voltada à fraude bancária. A Zimperium zLabs descreve o pacote como algo alugado no Telegram já pronto para uso, com planos de assinatura, descontos por indicação, guias e vídeos de operação. A proposta criminosa é direta: colocar nas mãos de gente com pouca habilidade técnica um golpe capaz de assumir funções importantes do celular da vítima.
Os pesquisadores afirmam que o RedWing parece ser uma nova variação do Oblivion, ferramenta de malware alugada por US$ 300 ao mês e documentada anteriormente. Para escalar a operação, o serviço usa um bot no Telegram que gera aplicativos personalizados sob demanda.
Como o golpe acontece
Tudo parte de um link de phishing. Ao clicar, a vítima cai em uma página falsa que imita uma loja de aplicativos. O kit citado pelos pesquisadores reproduz a aparência da Google Play, da Galaxy Store e da AppGallery, e ainda monta páginas personalizadas com avaliações, comentários e números de downloads inventados.
Em seguida, a página convence a pessoa a instalar o app fora da loja oficial. O aplicativo pede permissões aos poucos, em telas separadas, para parecer menos suspeito. Entre os pedidos estão desativar limites de bateria, tornar o app o padrão para mensagens SMS, ativar notificações e liberar o serviço de Acessibilidade do Android. Essa última permissão é a mais perigosa, porque abre caminho para leitura da tela e controle das ações no aparelho.
Sinais de alerta no Android
Alguns comportamentos merecem atenção imediata, antes que o dano aconteça:
- Link que leva a uma suposta loja de apps fora do endereço oficial.
- Pedido para instalar aplicativo manualmente, fora da Google Play, Galaxy Store ou AppGallery.
- App desconhecido pedindo para virar o aplicativo padrão de SMS.
- Solicitação para ativar Acessibilidade sem uma justificativa clara.
- Telas de login bancário aparecendo de forma inesperada ou diferente do normal.
- Queda de chamadas recebidas ou comportamento estranho ao receber ligações.
Segundo o relatório, o RedWing exibe telas falsas sobre apps bancários e de criptomoedas para capturar senhas. Ele também lê SMS com códigos de uso único, registra teclas digitadas, transmite a tela ao vivo e ativa o encaminhamento de chamadas com o código oculto *21*.
Como se proteger agora
A proteção mais eficaz é não instalar aplicativos a partir de links recebidos em mensagens, redes sociais ou páginas desconhecidas. Baixe apps direto das lojas oficiais e confira o nome do desenvolvedor antes de tocar em instalar.
- Negue permissões sensíveis para apps que não precisam ler SMS, controlar notificações ou usar Acessibilidade.
- Desconfie de páginas com urgência, promessas exageradas ou avaliações perfeitas demais.
- Revise apps instalados e remova qualquer aplicativo que você não reconheça.
- Monitore contas bancárias e ative alertas de transações quando disponíveis.
- Procure o suporte do banco se códigos SMS, ligações ou telas de login parecerem anormais.
Checklist prático
- Instale aplicativos apenas pela loja oficial do seu aparelho e nunca por links encurtados ou páginas enviadas por terceiros.
- Revise permissões de SMS, notificações e Acessibilidade em apps instalados recentemente.
- Ao suspeitar de fraude, remova o app, troque as senhas bancárias e avise o banco imediatamente.
Perguntas frequentes
O RedWing afeta iPhone?
O caso descrito pela Zimperium zLabs trata de malware para Android. O material analisado não menciona impacto em iPhone.
Por que a permissão de Acessibilidade é perigosa?
Porque, quando abusada por malware, ela permite ler o que aparece na tela e controlar ações no telefone, facilitando o roubo de senhas e códigos.
O Telegram é o malware?
Não. O Telegram aparece como canal usado pelos criminosos para vender e operar o serviço. O risco está no pacote RedWing e nos aplicativos falsos gerados por ele.
Proteja sua empresa com a LC SEC
Golpes móveis também atingem empresas quando colaboradores usam o celular para acessar bancos, e-mails e sistemas corporativos. A LC SEC ajuda a mapear riscos, treinar equipes e criar controles para reduzir fraudes por aplicativos falsos.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Fontes:
https://thehackernews.com/2026/07/redwing-maas-packages-android-bank.html
Receba as principais noticias de ciberseguranca
Inscreva-se em nossa newsletter e receba artigos, alertas de vulnerabilidades e tendencias diretamente no seu email.

