RedWing è l’ultimo nome che si aggiunge alla lunga lista di minacce pensate per colpire i dispositivi Android, e questa volta il livello di sofisticazione fa davvero alzare le sopracciglia. Si tratta di un malware venduto come un vero e proprio servizio in abbonamento, con tanto di assistenza clienti e video tutorial, capace di dare a chi lo acquista il controllo quasi totale dello smartphone della vittima. A scoprirlo sono stati i ricercatori di Zimperium, che lo descrivono come qualcosa di ben più strutturato rispetto ai trojan visti fino a oggi.
Il panorama delle minacce per Android non ha smesso di allargarsi negli ultimi mesi. C’era stato Brokewell, capace persino di aggirare i codici di Google Authenticator. Poi Sturnus, nascosto in APK camuffati da app conosciute come Chrome. E ancora Rokarolla, il trojan in grado di svuotare i conti bancari. Adesso arriva questo nuovo attore, che alza ulteriormente l’asticella.
Cosa fa RedWing e perché fa tanta paura
La cosa più inquietante è che RedWing funziona esattamente come un software commerciale legittimo. Chi lo vende lo promuove su Telegram con diversi livelli di abbonamento, un bot di supporto dedicato e video dimostrativi. Tradotto in parole semplici, chi lo compra non ha bisogno di saper programmare. Basta pagare, guardare qualche tutorial ed è tutto pronto.
Una volta installato, i danni sono concreti. Il malware sfrutta gli overlay di phishing, quelle finestre finte che si sovrappongono alle vere app bancarie e di criptovalute, per rubare le password. Legge anche i messaggi in arrivo per intercettare i codici usa e getta dell’autenticazione a due fattori, gli ormai famosi OTP.
C’è poi un dettaglio che lascia perplessi. RedWing può reindirizzare silenziosamente le chiamate della vittima verso l’attaccante, sfruttando un vecchio codice degli operatori telefonici che ormai quasi nessuno conosce più. Un particolare tecnico che dice molto su quanto chi c’è dietro conosca a fondo le reti mobili. Chi lo gestisce può inoltre osservare in tempo reale lo schermo, attivare da remoto fotocamera e microfono, e prelevare contatti, file e messaggi. Il tutto sfruttando funzionalità reali e legittime di Android per restare nascosto e mantenere la propria presenza sul dispositivo. La stessa infrastruttura, tra l’altro, può essere riconvertita per lanciare attacchi DDoS.
Da dove arriva e come difendersi
Secondo i ricercatori, RedWing sarebbe una versione ricostruita di Oblivion, un altro kit in affitto individuato lo scorso febbraio e venduto a partire da circa 280 euro al mese, capace di aggirare le protezioni di Android dalla versione 8 fino alla 16. Finora sono state censite 82 istituzioni prese di mira, con una prevalenza netta verso società finanziarie russe. Un segnale di un focus geografico piuttosto preciso.
Il modello del malware-as-a-service non è una novità assoluta nel mondo della sicurezza informatica. Quello che è cambiato, semmai, è quanto profondamente si sia radicato nel mondo mobile. Oggi uno smartphone è portafoglio, sistema di autenticazione e casella di posta tutto insieme, il che lo rende un bersaglio goloso. Ecco perché la richiesta di strumenti come questo continua a crescere tra criminali con competenze tecniche limitate.
Al momento non esistono contromisure specifiche, ma restano valide alcune buone pratiche che fanno sempre la differenza. Meglio non installare app tramite sideloading se sono già disponibili sul Google Play Store. Qualsiasi app che si spaccia per Google Play Protect o per un componente del sistema e chiede di essere installata a mano è quasi certamente malevola. Questi componenti non si installano mai manualmente.
Attenzione estrema anche alle richieste di accesso alle funzionalità di accessibilità da parte di app che accessibilità non sono. Non concedere permessi avanzati ad app scaricate da link o siti sospetti è un’abitudine sana. E vale sempre la pena guardare bene le schermate di accesso alle app bancarie. Se qualcosa non torna, meglio chiudere e riaprire dall’icona ufficiale. Un messaggio o un pop-up che invita ad aggiornare urgentemente un’app va trattato come un campanello d’allarme, non come una routine da eseguire distrattamente.