Come rimuovere RedWing Spyware dai dispositivi Android
TruffaConosciuto anche come: RedWing malware
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è RedWing?
RedWing è una piattaforma commerciale di spyware offerta tramite un modello ad abbonamento, che prende di mira gli utenti Android. È in grado di intercettare messaggi SMS, sottrarre credenziali finanziarie, registrare audio e video e garantire agli aggressori il controllo remoto completo dei dispositivi infetti. Secondo la ricerca pubblicata da Zimperium, l'operazione è collegata a criminali informatici russi e segue un modello Malware-as-a-Service (MaaS) che consente agli acquirenti di distribuire spyware personalizzato senza competenze tecniche.

Panoramica del malware RedWing
RedWing è offerto tramite un modello di abbonamento a livelli. L'accesso ha un prezzo di 10 $ al giorno, 60 $ a settimana o 200 $ al mese, con anche una prova gratuita di un'ora disponibile e accordi personalizzati per periodi più lunghi. Gli abbonati ricevono un pannello di controllo basato sul web e un generatore automatico di APK che crea applicazioni dannose pronte all'uso configurate secondo le loro specifiche.
L'operazione include un'infrastruttura di phishing integrata che consente agli operatori di costruire false pagine di app store che imitano Google Play, Samsung Galaxy Store e AppGallery. Queste pagine possono essere configurate con valutazioni, numeri di recensioni e statistiche di download falsi, rendendole indistinguibili dalle inserzioni legittime dei marketplace.
È stato osservato che RedWing si diffonde tramite falsi avvisi di aggiornamento distribuiti attraverso RuStore, un marketplace mobile russo legittimo. L'applicazione dannosa si installa in genere con un nome generico e poco appariscente per evitare di destare sospetti. Una volta installata, presenta alla vittima una procedura guidata di configurazione in più passaggi camuffata da schermata di configurazione della «protezione del sistema».
Attraverso queste sovrapposizioni di social engineering, RedWing richiede una serie di autorizzazioni potenti. Chiede di diventare l'applicazione SMS predefinita del dispositivo, di ottenere i privilegi del servizio di accessibilità, di ricevere l'accesso come amministratore del dispositivo, di aggirare l'ottimizzazione della batteria per un funzionamento persistente in background e di accedere alle notifiche.
Una volta concesse tali autorizzazioni, il malware inizia a raccogliere un'ampia gamma di dati personali. Ruba messaggi SMS, registri delle chiamate e contatti, enumera i file sul dispositivo, traccia la posizione geografica, registra le sequenze di tasti e monitora gli appunti. Tutti i dati raccolti vengono trasmessi al server di comando e controllo dell'aggressore.
RedWing include anche estese capacità di accesso remoto. Gli operatori possono trasmettere in diretta lo schermo del dispositivo utilizzando un modulo VNC integrato, acquisire screenshot, attivare la fotocamera per catturare foto o video e registrare l'audio tramite il microfono. Il dispositivo può anche essere bloccato da remoto in qualsiasi momento.
Una grave minaccia finanziaria posta da RedWing è la sua capacità di attacco tramite sovrapposizione, che prende di mira oltre 82 applicazioni bancarie e di criptovalute con una forte attenzione agli istituti finanziari russi. Quando una vittima apre una di queste app prese di mira, viene sovrapposta una convincente schermata di accesso falsa per rubare silenziosamente le credenziali.
Per sconfiggere l'autenticazione a due fattori, RedWing intercetta i messaggi SMS in arrivo prima che la vittima possa leggerli. Può anche reindirizzare le chiamate utilizzando comandi USSD, inoltrandole silenziosamente in modo che i codici di verifica vocale raggiungano l'aggressore anziché il destinatario previsto.
Oltre alla sorveglianza, RedWing può arruolare i dispositivi infetti come nodi in una botnet per attacchi HTTP flood coordinati contro obiettivi specificati dall'aggressore. Un modulo proxy integrato consente il tunneling di rete e il malware supporta oltre 150 singoli comandi remoti che coprono di tutto, dall'iniezione di sovrapposizioni alla gestione dei file.
Gli sviluppatori di malware aggiornano ed espandono frequentemente i loro strumenti. Le future iterazioni di RedWing potrebbero avere capacità aggiuntive o diverse da quelle qui documentate.
In sintesi, la presenza di RedWing su un dispositivo può portare alla completa perdita della privacy, al furto di credenziali bancarie e codici di autenticazione, a transazioni finanziarie non autorizzate e al pieno controllo remoto del dispositivo da parte di terzi.
| Nome | RedWing malware |
| Tipo Di Minaccia | Malware Android, applicazione dannosa, applicazione indesiderata, spyware. |
| Nomi Di Rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.UY), ESET-NOD32 (Android/Spy.Agent.FEM Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.ko), Full List (VirusTotal) |
| Sintomi | Il dispositivo funziona lentamente, le impostazioni di sistema vengono modificate senza il permesso dell'utente, compaiono applicazioni discutibili, l'utilizzo di dati e batteria aumenta significativamente, i browser reindirizzano a siti web discutibili, vengono mostrate pubblicità intrusive. |
| Metodi Di Distribuzione | Siti di phishing che imitano app store legittimi (Google Play, Samsung Galaxy Store, AppGallery), falsi aggiornamenti di applicazioni su RuStore, canali Telegram. |
| Danno | Informazioni personali rubate (messaggi SMS, credenziali bancarie, contatti, registri delle chiamate, codici di autenticazione a due fattori), perdite finanziarie, accesso remoto non autorizzato al dispositivo, furto di identità. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Esempi di spyware Android
RedWing è un potente strumento spyware commerciale che offre agli abbonati un ampio controllo sui dispositivi Android infetti. La sua combinazione di moduli di frode finanziaria, ampie capacità di sorveglianza e un'infrastruttura MaaS facile da usare per gli abbonati lo rende una seria minaccia per chiunque il cui dispositivo un acquirente scelga di prendere di mira.
Lo spyware e il malware che prendono di mira Android assumono molte forme. Esempi di minacce simili includono ResidentBat, Landfall e PlainGnome.
Vale la pena notare che la maggior parte del malware Android viene creato con il guadagno finanziario come motivazione principale, sebbene anche obiettivi di sorveglianza e finalità ideologiche possano avere un ruolo. Indipendentemente dall'intento, qualsiasi minaccia di questo tipo dovrebbe essere rimossa dal dispositivo non appena viene identificata.
Come si è infiltrato RedWing nel mio dispositivo?
Gli operatori di RedWing utilizzano siti di phishing progettati per somigliare strettamente ai marketplace di app legittimi come Google Play, Samsung Galaxy Store e AppGallery. Le vittime vengono in genere indirizzate a queste pagine tramite campagne mirate e incoraggiate a scaricare quella che sembra essere un'app ufficiale o un aggiornamento richiesto.
Il malware si è diffuso anche come falsi avvisi di aggiornamento di RuStore. Queste notifiche affermano che un'applicazione installata necessita di un aggiornamento obbligatorio per continuare a funzionare e includono falsi distintivi di sicurezza per creare fiducia. L'accettazione dell'aggiornamento scarica e installa l'APK di RedWing sul dispositivo.
Poiché il generatore di RedWing consente agli acquirenti di personalizzare il nome dell'app, l'icona e il flusso delle autorizzazioni tramite un bot Telegram, l'aspetto dell'applicazione dannosa può variare significativamente tra le campagne. Gli utenti dovrebbero diffidare di qualsiasi avviso di installazione che appaia al di fuori dell'app store ufficiale.
Come evitare l'installazione di malware?
Installi le applicazioni solo dal Google Play Store ufficiale o dal sito web verificato di uno sviluppatore. Eviti di scaricare file APK condivisi tramite Telegram, social media, link SMS o qualsiasi altro canale non ufficiale, anche se l'avviso sembra provenire da un'app familiare e affidabile.
Esamini attentamente le autorizzazioni delle app prima di concederle. Le applicazioni legittime raramente necessitano dell'accesso al servizio di accessibilità o del diritto di diventare il gestore SMS predefinito. Mantenere Android aggiornato ed eseguire un'affidabile applicazione di sicurezza mobile aggiunge un forte livello di protezione aggiuntivo contro minacce come RedWing.
Spyware RedWing distribuito tramite un falso avviso di aggiornamento di RuStore e la schermata Android «Installa app sconosciute» attivata durante l'installazione (fonte: zimperium.com):

Procedura guidata di configurazione delle autorizzazioni di RedWing che richiede l'accesso come app SMS predefinita, il servizio di accessibilità e i privilegi di amministratore del dispositivo (fonte: zimperium.com):

Schede di richiesta autorizzazioni generate dal generatore di RedWing che invitano la vittima a consentire l'aggiramento dell'ottimizzazione della batteria, l'accesso agli SMS e l'accesso alle notifiche (fonte: zimperium.com):

Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser web Chrome?
- Come disabilitare le notifiche del browser nel browser web Chrome?
- Come reimpostare il browser web Chrome?
- Come eliminare la cronologia di navigazione dal browser web Firefox?
- Come disabilitare le notifiche del browser nel browser web Firefox?
- Come reimpostare il browser web Firefox?
- Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in «Modalità provvisoria»?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dati di varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come reimpostare il sistema al suo stato predefinito?
- Come disabilitare le applicazioni che hanno privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser web Chrome:

Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Cronologia» nel menu a discesa aperto.

Tocca «Cancella dati di navigazione», seleziona la scheda «AVANZATE», scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca «Cancella dati».
Disabilitare le notifiche del browser nel browser web Chrome:

Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Impostazioni» nel menu a discesa aperto.

Scorri verso il basso fino a visualizzare l'opzione «Impostazioni sito» e toccala. Scorri verso il basso fino a visualizzare l'opzione «Notifiche» e toccala.

Trova i siti web che inviano notifiche del browser, toccali e clicca su «Cancella e reimposta». Questo rimuoverà le autorizzazioni concesse a questi siti web per inviare notifiche. Tuttavia, una volta che visiti nuovamente lo stesso sito, potrebbe chiedere di nuovo un'autorizzazione. Puoi scegliere se concedere queste autorizzazioni o meno (se scegli di rifiutare, il sito web andrà nella sezione «Bloccati» e non ti chiederà più l'autorizzazione).
Reimpostare il browser web Chrome:

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccala.

Scorri verso il basso fino a trovare l'applicazione «Chrome», selezionala e tocca l'opzione «Archiviazione».

Tocca «GESTISCI ARCHIVIAZIONE», poi «CANCELLA TUTTI I DATI» e conferma l'azione toccando «OK». Nota che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Eliminare la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante «Menu» (tre puntini nell'angolo in alto a destra dello schermo) e seleziona «Cronologia» nel menu a discesa aperto.

Scorri verso il basso fino a visualizzare «Cancella dati privati» e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca «CANCELLA DATI».
Disabilitare le notifiche del browser nel browser web Firefox:

Visita il sito web che invia notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un «Lucchetto») e seleziona «Modifica impostazioni sito».

Nel pop-up aperto seleziona l'opzione «Notifiche» e tocca «CANCELLA».
Reimpostare il browser web Firefox:

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccala.

Scorri verso il basso fino a trovare l'applicazione «Firefox», selezionala e tocca l'opzione «Archiviazione».

Tocca «CANCELLA DATI» e conferma l'azione toccando «ELIMINA». Nota che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai anche accedere nuovamente a tutti i siti web.
Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «App» e toccala.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca «Disinstalla». Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, ti viene mostrato un messaggio di errore), dovresti provare a utilizzare la «Modalità provvisoria».
Avviare il dispositivo Android in «Modalità provvisoria»:
La «Modalità provvisoria» nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona «normalmente»).

Premi il pulsante «Accensione» e tienilo premuto fino a visualizzare la schermata «Spegni». Tocca l'icona «Spegni» e tienila premuta. Dopo alcuni secondi apparirà l'opzione «Modalità provvisoria» e potrai eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria di varie applicazioni:

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Manutenzione dispositivo» e toccala.

Tocca «Batteria» e controlla l'utilizzo di ogni applicazione. Le applicazioni legittime/autentiche sono progettate per utilizzare la minor energia possibile al fine di offrire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dati di varie applicazioni:

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Connessioni» e toccala.

Scorri verso il basso fino a visualizzare «Utilizzo dati» e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo possibile l'utilizzo dati. Ciò significa che un enorme utilizzo dati può indicare la presenza di un'applicazione dannosa. Nota che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, dovresti controllare l'utilizzo dati sia mobile che Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android al fine di correggere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui dovresti sempre assicurarti che il software del tuo dispositivo sia aggiornato.

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Aggiornamento software» e toccalo.

Tocca «Scarica aggiornamenti manualmente» e verifica se sono disponibili aggiornamenti. In tal caso, installali immediatamente. Consigliamo inoltre di abilitare l'opzione «Scarica aggiornamenti automaticamente» - permetterà al sistema di notificarti una volta che un aggiornamento viene rilasciato e/o di installarlo automaticamente.
Reimpostare il sistema al suo stato predefinito:
Eseguire un «Ripristino dei dati di fabbrica» è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni del sistema ai valori predefiniti e pulire il dispositivo in generale. Tuttavia, devi tenere presente che tutti i dati all'interno del dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.
Puoi anche ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Informazioni sul telefono» e toccalo.

Scorri verso il basso fino a visualizzare «Ripristina» e toccalo. Ora scegli l'azione che desideri eseguire:
«Ripristina impostazioni» - ripristina tutte le impostazioni di sistema ai valori predefiniti;
«Ripristina impostazioni di rete» - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
«Ripristino dati di fabbrica» - reimposta l'intero sistema ed elimina completamente tutti i dati memorizzati;
Disabilitare le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene privilegi a livello di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, dovresti sempre controllare quali app hanno tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su «Impostazioni», scorri verso il basso fino a visualizzare «Schermata di blocco e sicurezza» e toccalo.

Scorri verso il basso fino a visualizzare «Altre impostazioni di sicurezza», toccalo e poi tocca «App di amministrazione dispositivo».

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca «DISATTIVA».
Domande frequenti (FAQ)
Il mio dispositivo Android è infettato dal malware RedWing, devo formattare il mio dispositivo di archiviazione per liberarmene?
La formattazione è raramente necessaria per la rimozione del malware. L'esecuzione di un'affidabile soluzione antivirus mobile come Combo Cleaner dovrebbe essere sufficiente per rilevare ed eliminare RedWing dal dispositivo senza ricorrere a un ripristino completo dei dati di fabbrica.
Quali sono i maggiori problemi che il malware RedWing può causare?
RedWing concede agli aggressori un controllo quasi totale su un dispositivo infetto. Possono intercettare messaggi SMS inclusi i codici di autenticazione a due fattori, rubare credenziali bancarie tramite false schermate di sovrapposizione e accedere alla fotocamera e al microfono all'insaputa della vittima.
Oltre alla sorveglianza, gli operatori possono reindirizzare le chiamate in arrivo per aggirare l'autenticazione basata sul telefono, bloccare da remoto il dispositivo e coordinare più telefoni infetti per lanciare attacchi di sovraccarico di traffico. Gravi perdite finanziarie e furti di identità sono tra i risultati reali più probabili.
Qual è lo scopo del malware RedWing?
RedWing è principalmente orientato al profitto. Il modello MaaS consente agli abbonati di pagare per l'accesso e utilizzare il toolkit per rubare credenziali bancarie, raccogliere codici di autenticazione a due fattori, condurre sorveglianza non autorizzata e commettere frodi finanziarie.
Data la forte attenzione del malware verso le applicazioni finanziarie russe e i suoi apparenti legami con attori delle minacce di lingua russa, non si possono escludere motivazioni oltre al guadagno finanziario - come la raccolta di informazioni allineata allo Stato.
Come si è infiltrato il malware RedWing nel mio dispositivo Android?
RedWing arriva più comunemente tramite siti di phishing che imitano app store legittimi come Google Play o RuStore, dove le vittime vengono invitate a scaricare un falso aggiornamento. Gli acquirenti degli abbonamenti generano APK personalizzati tramite un bot Telegram e li distribuiscono tramite link di phishing o piattaforme di messaggistica.
Combo Cleaner mi proteggerà dal malware?
Combo Cleaner è in grado di rilevare e rimuovere la stragrande maggioranza delle infezioni malware note. Eseguire una scansione completa del dispositivo è particolarmente importante per minacce come RedWing, che si incorporano profondamente attraverso i privilegi di accessibilità e i diritti di amministratore del dispositivo.
Condividi:
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione