
RedWing 令 Android 金融木馬變成出租生意,麻煩喺權限陷阱
Zimperium 指 RedWing 經 Telegram 出租,暫時主要鎖定俄羅斯金融機構
重點喺出租模式
iThome 報道,Zimperium 新近揭露 Android 惡意軟件 RedWing。佢最值得睇嘅位,係經 Telegram 包裝成 Malware-as-a-Service(MaaS)出租:買家有操作文件、教學影片、自訂 APK 同釣魚頁工具,技術門檻即刻低咗一截。所以件事唔止係又多一隻金融木馬,仲似手機詐騙開始行 SaaS 生意嗰套:有人寫工具、有人租服務、有人負責搵受害人。

圖片:Zimperium
假 app 店係入口
Zimperium 報告話,RedWing 個賣點唔單止係偷登入資料,仲有一套俾租客用嘅製作器。攻擊者可以用 Telegram bot 整自訂 APK,釣魚頁可以扮 Google Play、Galaxy Store、AppGallery 或其他 app 店,仲可以改評分、評論數、下載量、開發者名,等個假頁望落似真。Zimperium 亦話,RedWing 有啲 dropper 同 overlay 位似今年早前 Oblivion,成件事睇落係同一個 Android RAT 租賃化脈絡。

圖片:Zimperium
權限一開,銀行 app 就冇幾多秘密
RedWing 會逐步引導用戶批無障礙服務、通知、SMS 預設 app、電池限制豁免等權限。批咗之後,攻擊者可以用假登入畫面蓋喺銀行或加密貨幣 app 上面,攞走帳密同一次性驗證碼;亦可以讀 SMS、聯絡人、通話記錄、檔案,甚至睇畫面同遙距撳掣。Zimperium 亦提到佢可以搞電話轉駁,令電話核實呢條路都唔穩陣。重點係,呢套攻擊好多時發生喺受害人自己部手機入面,防線難守過純粹撞密碼。
地區唔好講大咗
受害範圍要講清楚。Zimperium 話佢哋見到 82 間機構俾鎖定,金融同加密貨幣相關比例高,俄羅斯銀行金融佔最多;iThome 亦提到研究員估計攻擊者可能同俄羅斯有關。呢度暫時冇證據指向香港銀行或香港用戶中招,所以唔應該硬拉成本地事故。不過風險模型係通用嘅:只要假 app、側載 APK 同高危權限呢條鏈成立,地區可以變,假頁可以換,攻擊者租返同一套骨架就夠用。
要守住三道門
對普通 Android 用戶,最危險未必係電話太舊,反而係一連串看似合理嘅提示:『更新呢個 app』、『開通知先用到』、『設做 SMS app 先驗證』。正經銀行 app 幾乎冇理由叫你由瀏覽器下載 APK,再叫你開無障礙權限;一個購物、物流、優惠、投資 app 要求做 SMS 預設 app,同樣要即停。Google Play Protect 可以掃描同警告有問題 app,但 Zimperium 都提到部分 RedWing 樣本暫時避過傳統偵測,所以唔好當保護工具係免死金牌。
下一步睇行為訊號
公司 IT 如果管 Android 機,重點係封側載、限制 unknown-source install、監察突然要無障礙或預設 SMS 角色嘅 app,唔好淨係等 antivirus 報警。個人用戶就簡單啲:銀行、速遞、稅務、優惠 app 一律由官方 app 店搵;任何訊息叫你裝 APK 或改系統權限,先當詐騙處理;裝完 icon 消失、電話突然多咗奇怪通知權限、SMS app 俾換走,就即刻斷網、移除、改密碼,再聯絡銀行。之後要睇 RedWing 會唔會換名重出,同銀行 app、Android 權限設計、企業 MDM 可唔可以捉到呢類行為訊號。
參考來源
- iThome — Android惡意軟體RedWing以租賃模式提供買家,協助發動金融詐騙 — original report
- Zimperium:RedWing Mobile MaaS 研究報告 — 主要 fact 來源,核對 Telegram 出租、權限濫用、目標範圍同技術能力。
- Zimperium newsroom:RedWing 發布資料 — 核對日期同 Zimperium 對 RedWing 商業化攻擊平台嘅摘要。
- The Hacker News:RedWing MaaS analysis — 補充安全社群對 RedWing、Oblivion 脈絡同防守重點嘅整理。
- Google Help:Play Protect — 核對 Play Protect 對未知來源 app 掃描、警告同移除方式。
- Android Help:restricted settings — 核對 Android 對無障礙等敏感設定嘅安全提示。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







