Voltar ao início do blog

RedWing aluga malware Android no Telegram para roubo bancario via SMS

Malware

RedWing no Telegram, saiba como age

Operação transforma fraude bancária em serviço pronto para criminosos com pouca experiência.

Resumo rapido

O RedWing é uma operação de malware para Android vendida como serviço no Telegram. Segundo a Zimperium zLabs, ele permite criar aplicativos falsos para roubar logins bancários, mensagens SMS e códigos de verificação. O risco cresce quando a vítima instala apps fora das lojas oficiais e concede permissões sensíveis.

Neste artigo voce vai aprender:

  • O que é o RedWing e por que ele preocupa usuários de Android
  • Como páginas falsas imitam Google Play, Galaxy Store e AppGallery
  • Quais permissões dão controle amplo do telefone ao criminoso
  • Quais sinais indicam tentativa de golpe no celular
  • O que fazer para reduzir o risco de fraude bancária

O que é o RedWing

O RedWing é uma nova operação de malware para Android voltada à fraude bancária. A Zimperium zLabs descreve o pacote como algo alugado no Telegram já pronto para uso, com planos de assinatura, descontos por indicação, guias e vídeos de operação. A proposta criminosa é direta: colocar nas mãos de gente com pouca habilidade técnica um golpe capaz de assumir funções importantes do celular da vítima.

Os pesquisadores afirmam que o RedWing parece ser uma nova variação do Oblivion, ferramenta de malware alugada por US$ 300 ao mês e documentada anteriormente. Para escalar a operação, o serviço usa um bot no Telegram que gera aplicativos personalizados sob demanda.

Como o golpe acontece

Tudo parte de um link de phishing. Ao clicar, a vítima cai em uma página falsa que imita uma loja de aplicativos. O kit citado pelos pesquisadores reproduz a aparência da Google Play, da Galaxy Store e da AppGallery, e ainda monta páginas personalizadas com avaliações, comentários e números de downloads inventados.

Em seguida, a página convence a pessoa a instalar o app fora da loja oficial. O aplicativo pede permissões aos poucos, em telas separadas, para parecer menos suspeito. Entre os pedidos estão desativar limites de bateria, tornar o app o padrão para mensagens SMS, ativar notificações e liberar o serviço de Acessibilidade do Android. Essa última permissão é a mais perigosa, porque abre caminho para leitura da tela e controle das ações no aparelho.

Sinais de alerta no Android

Alguns comportamentos merecem atenção imediata, antes que o dano aconteça:

  • Link que leva a uma suposta loja de apps fora do endereço oficial.
  • Pedido para instalar aplicativo manualmente, fora da Google Play, Galaxy Store ou AppGallery.
  • App desconhecido pedindo para virar o aplicativo padrão de SMS.
  • Solicitação para ativar Acessibilidade sem uma justificativa clara.
  • Telas de login bancário aparecendo de forma inesperada ou diferente do normal.
  • Queda de chamadas recebidas ou comportamento estranho ao receber ligações.

Segundo o relatório, o RedWing exibe telas falsas sobre apps bancários e de criptomoedas para capturar senhas. Ele também lê SMS com códigos de uso único, registra teclas digitadas, transmite a tela ao vivo e ativa o encaminhamento de chamadas com o código oculto *21*.

Como se proteger agora

A proteção mais eficaz é não instalar aplicativos a partir de links recebidos em mensagens, redes sociais ou páginas desconhecidas. Baixe apps direto das lojas oficiais e confira o nome do desenvolvedor antes de tocar em instalar.

  • Negue permissões sensíveis para apps que não precisam ler SMS, controlar notificações ou usar Acessibilidade.
  • Desconfie de páginas com urgência, promessas exageradas ou avaliações perfeitas demais.
  • Revise apps instalados e remova qualquer aplicativo que você não reconheça.
  • Monitore contas bancárias e ative alertas de transações quando disponíveis.
  • Procure o suporte do banco se códigos SMS, ligações ou telas de login parecerem anormais.

Checklist prático

  1. Instale aplicativos apenas pela loja oficial do seu aparelho e nunca por links encurtados ou páginas enviadas por terceiros.
  2. Revise permissões de SMS, notificações e Acessibilidade em apps instalados recentemente.
  3. Ao suspeitar de fraude, remova o app, troque as senhas bancárias e avise o banco imediatamente.

Perguntas frequentes

O RedWing afeta iPhone?

O caso descrito pela Zimperium zLabs trata de malware para Android. O material analisado não menciona impacto em iPhone.

Por que a permissão de Acessibilidade é perigosa?

Porque, quando abusada por malware, ela permite ler o que aparece na tela e controlar ações no telefone, facilitando o roubo de senhas e códigos.

O Telegram é o malware?

Não. O Telegram aparece como canal usado pelos criminosos para vender e operar o serviço. O risco está no pacote RedWing e nos aplicativos falsos gerados por ele.

Proteja sua empresa com a LC SEC

Golpes móveis também atingem empresas quando colaboradores usam o celular para acessar bancos, e-mails e sistemas corporativos. A LC SEC ajuda a mapear riscos, treinar equipes e criar controles para reduzir fraudes por aplicativos falsos.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/07/redwing-maas-packages-android-bank.html

Compartilhe nas redes sociais:

Conteúdos relacionados

Alertas de cibersegurança direto no Telegram

Vazamentos, vulnerabilidades críticas e tendências — curadoria diária pela nossa equipe de threat intel. Entre no canal oficial e fique à frente das ameaças.

Entrar no canal