Como remover o RedWing Spyware de dispositivos Android

Phishing/Fraude

Também conhecido como: malware RedWing

Nível de danos:

Faça uma verificação gratuita e verifique se o seu computador está infectado.

REMOVER AGORA

Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Que tipo de malware é o RedWing?

O RedWing é uma plataforma comercial de spyware disponibilizada através de um modelo de subscrição, dirigida aos utilizadores de Android. É capaz de intercetar mensagens SMS, recolher credenciais financeiras, gravar áudio e vídeo e conceder aos atacantes controlo remoto total sobre os dispositivos infetados. De acordo com a investigação publicada pela Zimperium, a operação está associada a agentes de ameaça russos e segue um modelo de Malware-as-a-Service (MaaS) que permite aos compradores implementar spyware personalizado sem conhecimentos técnicos.

Instalação do spyware RedWing através de uma solicitação falsa de atualização do RuStore

Visão geral do malware RedWing

O RedWing é oferecido através de um modelo de subscrição por níveis. O acesso tem o preço de 10 dólares por dia, 60 dólares por semana ou 200 dólares por mês, estando também disponível um período de teste gratuito de uma hora e acordos personalizados para períodos mais longos. Os subscritores recebem um painel de controlo baseado na web e um construtor automatizado de APK que gera aplicações maliciosas prontas a implementar, configuradas conforme as suas especificações.

A operação inclui uma infraestrutura de phishing incorporada que permite aos operadores construir páginas falsas de lojas de aplicações que se fazem passar pelo Google Play, Samsung Galaxy Store e AppGallery. Estas páginas podem ser configuradas com classificações falsas, contagens de avaliações e estatísticas de descarregamento, fazendo com que pareçam indistinguíveis de listagens legítimas de mercados.

Observou-se que o RedWing se propaga através de solicitações falsas de atualização entregues via RuStore, um mercado móvel russo legítimo. A aplicação maliciosa normalmente instala-se sob um nome genérico e discreto para evitar levantar suspeitas. Uma vez instalada, apresenta à vítima um assistente de configuração de várias etapas disfarçado de ecrã de configuração de "proteção do sistema".

Através destas sobreposições de engenharia social, o RedWing solicita uma série de permissões poderosas. Pede para se tornar a aplicação de SMS predefinida do dispositivo, obter privilégios de Serviço de Acessibilidade, receber acesso de administrador do dispositivo, contornar a otimização da bateria para uma operação persistente em segundo plano e aceder às notificações.

Uma vez concedidas essas permissões, o malware começa a recolher uma vasta gama de dados pessoais. Rouba mensagens SMS, registos de chamadas e contactos, enumera ficheiros no dispositivo, rastreia a localização geográfica, regista as teclas premidas e monitoriza a área de transferência. Todos os dados recolhidos são transmitidos para o servidor de comando e controlo do atacante.

O RedWing também inclui amplas capacidades de acesso remoto. Os operadores podem transmitir o ecrã do dispositivo em direto usando um módulo VNC incorporado, tirar capturas de ecrã, ativar a câmara para capturar fotografias ou vídeo e gravar áudio através do microfone. O dispositivo também pode ser bloqueado remotamente a qualquer momento.

Uma grande ameaça financeira representada pelo RedWing é a sua capacidade de ataque por sobreposição, visando mais de 82 aplicações bancárias e de criptomoedas com um forte foco em instituições financeiras russas. Quando uma vítima abre uma destas aplicações visadas, é colocado por cima um ecrã de início de sessão falso e convincente para roubar silenciosamente as suas credenciais.

Para derrotar a autenticação de dois fatores, o RedWing interceta as mensagens SMS recebidas antes que a vítima as possa ler. Também pode redirecionar chamadas usando comandos USSD, encaminhando-as silenciosamente para que os códigos de verificação por voz cheguem ao atacante em vez do destinatário pretendido.

Para além da vigilância, o RedWing pode recrutar dispositivos infetados como nós numa botnet para ataques coordenados de inundação HTTP contra alvos especificados pelo atacante. Um módulo de proxy incorporado permite o encaminhamento de rede, e o malware suporta mais de 150 comandos remotos individuais que abrangem tudo, desde a injeção de sobreposições até à gestão de ficheiros.

Os programadores de malware atualizam e expandem frequentemente as suas ferramentas. Futuras iterações do RedWing poderão ter capacidades adicionais ou diferentes das documentadas aqui.

Em resumo, a presença do RedWing num dispositivo pode levar à perda completa de privacidade, ao roubo de credenciais bancárias e códigos de autenticação, a transações financeiras não autorizadas e ao controlo remoto total do dispositivo por parte de terceiros.

Resumo da Ameaça:
Nome malware RedWing
Tipo De Ameaça Malware para Android, aplicação maliciosa, aplicação indesejada, spyware.
Nomes De Deteção Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.UY), ESET-NOD32 (Android/Spy.Agent.FEM Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.ko), Lista Completa (VirusTotal)
Sintomas O dispositivo funciona lentamente, as definições do sistema são modificadas sem a permissão do utilizador, aparecem aplicações questionáveis, o uso de dados e da bateria aumenta significativamente, os navegadores redirecionam para sites questionáveis, são entregues anúncios intrusivos.
Métodos De Distribuição Sites de phishing que se fazem passar por lojas de aplicações legítimas (Google Play, Samsung Galaxy Store, AppGallery), atualizações falsas de aplicações no RuStore, canais do Telegram.
Danos Roubo de informações pessoais (mensagens SMS, credenciais bancárias, contactos, registos de chamadas, códigos de autenticação de dois fatores), perdas financeiras, acesso remoto não autorizado ao dispositivo, roubo de identidade.
Remoção do Malware (Windows)

Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.

Descarregar Combo Cleaner

O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.

Exemplos de spyware para Android

O RedWing é uma ferramenta comercial de spyware capaz que dá aos subscritores um controlo extenso sobre dispositivos Android infetados. A sua combinação de módulos de fraude financeira, amplas capacidades de vigilância e infraestrutura MaaS amigável para os subscritores torna-o uma ameaça séria para qualquer pessoa cujo dispositivo um comprador escolha visar.

O spyware e malware que visam o Android assumem muitas formas. Exemplos de ameaças semelhantes incluem ResidentBat, Landfall e PlainGnome.

Vale a pena notar que a maioria do malware para Android é criada com o ganho financeiro como principal motivo, embora objetivos de vigilância e metas ideológicas também possam desempenhar um papel. Independentemente da intenção, qualquer ameaça deste tipo deve ser removida do dispositivo assim que for identificada.

Como é que o RedWing se infiltrou no meu dispositivo?

Os operadores do RedWing usam sites de phishing concebidos para se assemelharem de perto a mercados de aplicações legítimos, como o Google Play, a Samsung Galaxy Store e a AppGallery. As vítimas são normalmente direcionadas para estas páginas através de campanhas direcionadas e incentivadas a descarregar o que aparenta ser uma aplicação oficial ou uma atualização necessária.

O malware também se propagou como solicitações falsas de atualização do RuStore. Estas notificações afirmam que uma aplicação instalada precisa de uma atualização obrigatória para continuar a funcionar e incluem emblemas de segurança falsos para gerar confiança. Aceitar a atualização descarrega e instala o APK do RedWing no dispositivo.

Como o construtor do RedWing permite aos compradores personalizar o nome da aplicação, o ícone e o fluxo de permissões através de um bot do Telegram, o aspeto da aplicação maliciosa pode variar significativamente entre campanhas. Os utilizadores devem desconfiar de qualquer solicitação de instalação que apareça fora da própria loja de aplicações oficial.

Como evitar a instalação de malware?

Instale aplicações apenas a partir da Google Play Store oficial ou do site verificado de um programador. Evite descarregar ficheiros APK partilhados através do Telegram, redes sociais, ligações SMS ou qualquer outro canal não oficial, mesmo que a solicitação pareça vir de uma aplicação familiar e de confiança.

Reveja cuidadosamente as permissões das aplicações antes de as conceder. As aplicações legítimas raramente precisam de acesso ao Serviço de Acessibilidade ou do direito de se tornarem o seu gestor de SMS predefinido. Manter o Android atualizado e executar uma aplicação de segurança móvel reputada acrescenta uma forte camada adicional de proteção contra ameaças como o RedWing.

Spyware RedWing distribuído através de uma solicitação falsa de atualização do RuStore e o ecrã Android "Instalar aplicações desconhecidas" acionado durante a instalação (fonte: zimperium.com):

Spyware RedWing distribuído através de uma atualização falsa do RuStore e acionando a solicitação Android 'Instalar aplicações desconhecidas'

Assistente de configuração de permissões do RedWing a solicitar acesso à aplicação de SMS predefinida, ao Serviço de Acessibilidade e a privilégios de administrador do dispositivo (fonte: zimperium.com):

Assistente de configuração de permissões do spyware RedWing a solicitar acesso à aplicação de SMS predefinida, Serviços de Acessibilidade e privilégios de administrador do dispositivo

Cartões de solicitação de permissões gerados pelo construtor do RedWing que pedem à vítima para permitir o contorno da otimização da bateria, o acesso a SMS e o acesso às notificações (fonte: zimperium.com):

Ecrãs de solicitação de permissões gerados pelo construtor do spyware RedWing para contorno da otimização da bateria, acesso a SMS e notificações

Menu rápido:

Eliminar o histórico de navegação do navegador Chrome:

Eliminar o histórico de navegação do Chrome no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.

Eliminar o histórico de navegação do Chrome no sistema operativo Android (passo 2)

Toque em "Limpar dados de navegação", selecione o separador "AVANÇADO", escolha o intervalo de tempo e os tipos de dados que pretende eliminar e toque em "Limpar dados".

[Voltar ao menu]

Desativar as notificações do navegador no navegador Chrome:

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Definições" no menu suspenso aberto.

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 2)

Desloque-se para baixo até ver a opção "Definições do site" e toque nela. Desloque-se para baixo até ver a opção "Notificações" e toque nela.

Desativar as notificações do navegador no navegador Chrome no sistema operativo Android (passo 3)

Encontre os sites que entregam notificações do navegador, toque neles e clique em "Limpar e repor". Isto removerá as permissões concedidas a estes sites para entregar notificações. No entanto, uma vez que visite o mesmo site novamente, este poderá pedir permissão de novo. Pode escolher se dá ou não estas permissões (se optar por recusar, o site irá para a secção "Bloqueados" e deixará de lhe pedir a permissão).

[Voltar ao menu]

Repor o navegador Chrome:

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nela.

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 2)

Desloque-se para baixo até encontrar a aplicação "Chrome", selecione-a e toque na opção "Armazenamento".

Repor o navegador Chrome para as predefinições no sistema operativo Android (passo 3)

Toque em "GERIR ARMAZENAMENTO", depois em "LIMPAR TODOS OS DADOS" e confirme a ação tocando em "OK". Note que repor o navegador eliminará todos os dados armazenados nele. Isto significa que todos os inícios de sessão/palavras-passe guardados, o histórico de navegação, as definições não predefinidas e outros dados serão eliminados. Também terá de iniciar sessão novamente em todos os sites.

[Voltar ao menu]

Eliminar o histórico de navegação do navegador Firefox:

Eliminar o histórico de navegação do Firefox no sistema operativo Android (passo 1)

Toque no botão "Menu" (três pontos no canto superior direito do ecrã) e selecione "Histórico" no menu suspenso aberto.

Eliminar o histórico de navegação do Firefox no sistema operativo Android (passo 2)

Desloque-se para baixo até ver "Limpar dados privados" e toque nele. Selecione os tipos de dados que pretende remover e toque em "LIMPAR DADOS".

[Voltar ao menu]

Desativar as notificações do navegador no navegador Firefox:

Desativar as notificações do navegador no navegador Firefox no sistema operativo Android (passo 1)

Visite o site que está a entregar notificações do navegador, toque no ícone exibido à esquerda da barra de URL (o ícone não será necessariamente um "Cadeado") e selecione "Editar Definições do Site".

Desativar as notificações do navegador no navegador Firefox no sistema operativo Android (passo 2)

No pop-up aberto, ative a opção "Notificações" e toque em "LIMPAR".

[Voltar ao menu]

Repor o navegador Firefox:

Repor o navegador Firefox no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nela.

Repor o navegador Firefox no sistema operativo Android (passo 2)

Desloque-se para baixo até encontrar a aplicação "Firefox", selecione-a e toque na opção "Armazenamento".

Repor o navegador Firefox no sistema operativo Android (passo 3)

Toque em "LIMPAR DADOS" e confirme a ação tocando em "ELIMINAR". Note que repor o navegador eliminará todos os dados armazenados nele. Isto significa que todos os inícios de sessão/palavras-passe guardados, o histórico de navegação, as definições não predefinidas e outros dados serão eliminados. Também terá de iniciar sessão novamente em todos os sites.

[Voltar ao menu]

Desinstalar aplicações potencialmente indesejadas e/ou maliciosas:

Remover aplicações indesejadas/maliciosas do sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Aplicações" e toque nela.

Remover aplicações indesejadas/maliciosas do sistema operativo Android (passo 2)

Desloque-se para baixo até ver uma aplicação potencialmente indesejada e/ou maliciosa, selecione-a e toque em "Desinstalar". Se, por alguma razão, não conseguir remover a aplicação selecionada (por exemplo, aparece-lhe uma mensagem de erro), deverá tentar usar o "Modo de Segurança".

[Voltar ao menu]

Iniciar o dispositivo Android em "Modo de Segurança":

O "Modo de Segurança" no sistema operativo Android desativa temporariamente a execução de todas as aplicações de terceiros. Usar este modo é uma boa forma de diagnosticar e resolver vários problemas (por exemplo, remover aplicações maliciosas que impedem os utilizadores de o fazer quando o dispositivo está a funcionar "normalmente").

Iniciar o dispositivo Android em Modo de Segurança

Prima o botão "Ligar/Desligar" e mantenha-o premido até ver o ecrã "Desligar". Toque no ícone "Desligar" e mantenha-o premido. Após alguns segundos, a opção "Modo de Segurança" aparecerá e poderá executá-la reiniciando o dispositivo.

[Voltar ao menu]

Verificar o uso da bateria de várias aplicações:

Verificar o uso da bateria de várias aplicações no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Manutenção do dispositivo" e toque nela.

Verificar o uso da bateria de várias aplicações no sistema operativo Android (passo 2)

Toque em "Bateria" e verifique o uso de cada aplicação. As aplicações legítimas/genuínas são concebidas para usar o mínimo de energia possível, a fim de proporcionar a melhor experiência de utilizador e poupar energia. Por conseguinte, um uso elevado da bateria pode indicar que a aplicação é maliciosa.

[Voltar ao menu]

Verificar o uso de dados de várias aplicações:

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Ligações" e toque nela.

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 2)

Desloque-se para baixo até ver "Utilização de dados" e selecione esta opção. Tal como com a bateria, as aplicações legítimas/genuínas são concebidas para minimizar o uso de dados tanto quanto possível. Isto significa que um uso enorme de dados pode indicar a presença de uma aplicação maliciosa. Note que algumas aplicações maliciosas podem ser concebidas para operar apenas quando o dispositivo está ligado a uma rede sem fios. Por esta razão, deverá verificar o uso de dados tanto móveis como Wi-Fi.

Verificar o uso de dados de várias aplicações no sistema operativo Android (passo 3)

Se encontrar uma aplicação que usa muitos dados apesar de nunca a usar, aconselhamos vivamente que a desinstale o mais rapidamente possível.

[Voltar ao menu]

Instalar as atualizações de software mais recentes:

Manter o software atualizado é uma boa prática no que diz respeito à segurança do dispositivo. Os fabricantes de dispositivos lançam continuamente vários patches de segurança e atualizações do Android para corrigir erros e falhas que podem ser explorados por cibercriminosos. Um sistema desatualizado é muito mais vulnerável, razão pela qual deverá certificar-se sempre de que o software do seu dispositivo está atualizado.

Instalar atualizações de software no sistema operativo Android (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Atualização de software" e toque nela.

Instalar atualizações de software no sistema operativo Android (passo 2)

Toque em "Transferir atualizações manualmente" e verifique se há atualizações disponíveis. Se houver, instale-as imediatamente. Também recomendamos ativar a opção "Transferir atualizações automaticamente" - isto permitirá que o sistema o notifique assim que uma atualização for lançada e/ou a instale automaticamente.

[Voltar ao menu]

Repor o sistema para o seu estado predefinido:

Realizar uma "Reposição de Fábrica" é uma boa forma de remover todas as aplicações indesejadas, restaurar as definições do sistema para as predefinições e limpar o dispositivo em geral. No entanto, deve ter em mente que todos os dados no dispositivo serão eliminados, incluindo fotografias, ficheiros de vídeo/áudio, números de telefone (armazenados no dispositivo, não no cartão SIM), mensagens SMS, e assim por diante. Por outras palavras, o dispositivo será restaurado ao seu estado original.

Também pode restaurar as definições básicas do sistema e/ou simplesmente as definições de rede.

Repor o sistema operativo Android para o predefinido (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Acerca do telefone" e toque nela.

Repor o sistema operativo Android para o predefinido (passo 2)

Desloque-se para baixo até ver "Repor" e toque nela. Agora escolha a ação que pretende realizar:
"Repor definições" - restaurar todas as definições do sistema para as predefinições;
"Repor definições de rede" - restaurar todas as definições relacionadas com a rede para as predefinições;
"Reposição de dados de fábrica" - repor todo o sistema e eliminar completamente todos os dados armazenados;

[Voltar ao menu]

Desativar aplicações que têm privilégios de administrador:

Se uma aplicação maliciosa obtiver privilégios de nível de administrador, pode danificar seriamente o sistema. Para manter o dispositivo o mais seguro possível, deverá sempre verificar quais aplicações têm esses privilégios e desativar as que não deveriam tê-los.

Desativar aplicações Android que têm privilégios de administrador (passo 1)

Vá a "Definições", desloque-se para baixo até ver "Ecrã de bloqueio e segurança" e toque nela.

Desativar aplicações Android que têm privilégios de administrador (passo 2)

Desloque-se para baixo até ver "Outras definições de segurança", toque nela e depois toque em "Aplicações de administração do dispositivo".

Desativar aplicações Android que têm privilégios de administrador (passo 3)

Identifique as aplicações que não deveriam ter privilégios de administrador, toque nelas e depois toque em "DESATIVAR".

Perguntas Frequentes (FAQ)

O meu dispositivo Android está infetado com o malware RedWing, devo formatar o meu dispositivo de armazenamento para me livrar dele?

A formatação raramente é necessária para a remoção de malware. Executar uma solução antivírus móvel reputada, como o Combo Cleaner, deverá ser suficiente para detetar e eliminar o RedWing do seu dispositivo sem recorrer a uma reposição de fábrica completa.

Quais são os maiores problemas que o malware RedWing pode causar?

O RedWing concede aos atacantes um controlo quase total sobre um dispositivo infetado. Podem intercetar mensagens SMS, incluindo códigos de autenticação de dois fatores, roubar credenciais bancárias através de ecrãs de sobreposição falsos e aceder à câmara e ao microfone sem o conhecimento da vítima.

Para além da vigilância, os operadores podem redirecionar chamadas recebidas para contornar a autenticação por telefone, bloquear remotamente o dispositivo e coordenar múltiplos telefones infetados para lançar ataques de inundação de tráfego. Perdas financeiras sérias e roubo de identidade estão entre os resultados mais prováveis no mundo real.

Qual é o objetivo do malware RedWing?

O RedWing é impulsionado principalmente pelo lucro. O modelo MaaS permite que os subscritores paguem pelo acesso e usem o kit de ferramentas para roubar credenciais bancárias, recolher códigos de autenticação de dois fatores, realizar vigilância não autorizada e cometer fraude financeira.

Dado o forte foco do malware em aplicações financeiras russas e as suas aparentes ligações a agentes de ameaça de língua russa, motivações para além do ganho financeiro - como a recolha de informações alinhada com um Estado - não podem ser descartadas.

Como é que o malware RedWing se infiltrou no meu dispositivo Android?

O RedWing chega mais comummente através de sites de phishing que se fazem passar por lojas de aplicações legítimas, como o Google Play ou o RuStore, onde as vítimas são solicitadas a descarregar uma atualização falsa. Os compradores de subscrições geram APKs personalizados através de um bot do Telegram e distribuem-nos através de ligações de phishing ou plataformas de mensagens.

O Combo Cleaner irá proteger-me de malware?

O Combo Cleaner pode detetar e remover a grande maioria das infeções de malware conhecidas. Realizar uma verificação completa do dispositivo é particularmente importante para ameaças como o RedWing, que se incorporam profundamente através de privilégios de acessibilidade e direitos de administrador do dispositivo.

Partilhar:

facebook
X (Twitter)
linkedin
copiar link
Tomas Meskauskas

Tomas Meskauskas

Pesquisador especialista em segurança, analista profissional de malware

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.

▼ Mostrar comentários

O portal de segurança PCrisk é fornecido pela empresa RCS LT.

Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Doar