// 3 CVE · 4 EXPLOIT NELLE ULTIME 24H
Zimperium zLabs ha scoperto RedWing, una piattaforma Malware-as-a-Service che trasforma il furto bancario su Android in prodotto commerciale con bot Telegram e

Zimperium zLabs ha scoperto e documentato RedWing, una piattaforma Android Malware-as-a-Service commercializzata attraverso canali Telegram che permette a criminali di bassa competenza tecnica di condurre frodi bancarie complete. L'operazione, resa pubblica il 7 luglio 2026, rappresenta l'evoluzione del modello "rent-a-malware" già incarnato da Oblivion: un ecosistema in cui l'attacco mobile non richiede più competenze di sviluppo, ma solo un abbonamento e un target. Il dato che sposta l'asticella è la completezza funzionale, non la sofisticazione tecnica: RedWing non sfrutta vulnerabilità zero-day, ma abusa servizi Android legittimi per ottenere controllo totale del dispositivo.

Punti chiave
  • RedWing è una piattaforma MaaS venduta su Telegram con tier di abbonamento, sconti referral e guide video tutorial, che genera APK personalizzate per ogni acquirente tramite bot.
  • L'infezione si attiva con sideloading da pagine finte di app store: il Dropper Constructor mimica Google Play, Galaxy Store, AppGallery o template custom con rating e recensioni falsi.
  • Il malware richiede il servizio Accessibility di Android e si installa come gestore SMS predefinito, ottenendo capacità di overlay, keylogging, intercettazione OTP, streaming schermo e controllo remoto via comandi C2 specifici.
  • Zimperium ha identificato 82 istituzioni target, con forte focus su istituti finanziari russi; un sample analizzato usava come lure la pagina finta di RuStore, l'app store russo.

Il modello commerciale: quando il malware ha un reparto marketing

La novità di RedWing non risiede nel codice in sé, ma nell'architettura di distribuzione. Secondo l'analisi di Zimperium, la piattaforma opera su modello di abbonamento con tier differenziati, sconti per referral e supporto tecnico che include guide e video tutorial. Un bot Telegram permette agli acquirenti di generare APK personalizzate su richiesta, effettuando un ri-skinning continuo che rende inefficace il tracking per nome app o firma statica.

Questo meccanismo di personalizzazione massiva rappresenta un problema concreto per le difese basate su reputation: quando ogni campagna ha il proprio pacchetto, la detection signature-based perde capacità predittiva. Zimperium segnala che un numero sostanziale di dropper e payload generati attraverso la piattaforma evade strumenti di sicurezza convenzionali, non per tecniche di offuscamento avanzate, ma per la velocità di rotazione degli artefatti.

Il paragone con Oblivion, tool di rent-a-malware documentato precedentemente nel 2026 a circa 300 dollari mensili, è esplicito nella ricerca di Zimperium: RedWing condivide somiglianze nello stadio dropper e negli overlay utilizzati, suggerendo continuità evolutiva piuttosto che sviluppo ex novo. Il prezzo esatto dei tier di abbonamento RedWing non è tuttavia specificato nelle fonti disponibili.

L'ingegneria sociale come unico vettore: nessun exploit, tutti i permessi

RedWing non richiede vulnerabilità Android per operare. L'infezione inizia con link di phishing che aprono pagine finte di app store: il Dropper Constructor è in grado di mimare l'interfaccia di Google Play, Galaxy Store, AppGallery o template custom, completa di rating, recensioni e conteggi download falsi. Un sample analizzato da Zimperium usava come specifico lure la pagina finta di RuStore, l'app store ufficiale russo.

Una volta installata l'APK, l'Onboarding Constructor guida l'utente attraverso una sequenza di richieste di permesso presentate via WebView con interfaccia a schede (Cards): disabilitare l'ottimizzazione batteria, impostare l'app come gestore SMS predefinito, concedere accesso alle notifiche. Il passaggio critico è la richiesta del servizio Accessibility di Android, che trasforma il malware in agente con controllo completo del dispositivo: lettura dello schermo, iniezione di tocchi, esecuzione di azioni remote.

Questa architettura, basata esclusivamente su ingegneria sociale e abuso di servizi legittimi, rende il malware teoricamente rilevabile ma praticamente efficace: l'utente medio non distingue tra una richiesta di permesso Accessibility da un'app bancaria finta e una da un'app legittima, specialmente quando presentata nel contesto di un presunto store ufficiale.

Le funzionalità RAT: controllo remoto e sorveglianza in tempo reale

I comandi C2 identificati da Zimperium documentano la completezza del controllo remoto. Il pannello RAT Admin permette agli operatori di inviare istruzioni specifiche: per sovrapporre finestre di login fraudolente, e per simulare interazioni, e per attivare camera e microfono, per esfiltrare contenuti, per inoltrare chiamate, per inviare codici servizio.

La funzionalità di inoltro silenzioso delle chiamate tramite codice USSD nascosto *21* merita attenzione specifica: questo meccanismo neutralizza le contromisure antifrode basate su verifica telefonica e 2FA vocale, dirottando le chiamate verso un numero controllato dall'attaccante prima che raggiungano la vittima. Gli overlay dinamici, inoltre, possono essere modificati dal pannello C2 senza necessità di ridistribuire una nuova app, permettendo aggiornamenti target in tempo reale.

Oltre al furto bancario, RedWing include capacità di DDoS tramite pool di dispositivi infetti, trasformando i terminali compromessi in risorsa per attacchi di rete paralleli. Il controllo avviene attraverso screen streaming in stile VNC, con comandi che coprono apertura remota di app e URL: ogni dispositivo infetto è, di fatto, un endpoint gestito come asset in un'infrastruttura enterprise criminale.

Cosa fare adesso

  • Impedire l'installazione da fonti sconosciute sui dispositivi aziendali Android attraverso policy MDM, bloccando il sideloading se non esplicitamente autorizzato per app specifiche.
  • Rifiutare sistematicamente richieste di permesso Accessibility, SMS e ottimizzazione batteria da app non verificate attraverso store ufficiali, indipendentemente dalla presunta fonte di installazione.
  • Implementare autenticazione multifattore non basata su SMS o chiamate vocali per l'accesso ai servizi finanziari aziendali, dato che RedWing intercetta entrambi i canali e inoltra chiamate via USSD.
  • Segmentare l'accesso da dispositivi mobili alla rete aziendale, trattando gli endpoint Android come perimetro di rischio elevato indipendentemente dalla presenza di soluzioni EDR tradizionali.
"Organizations can no longer afford to treat mobile as a secondary risk. It has become one of the most vulnerable enterprise attack surfaces, with every compromised device representing a potential entry point into the corporate environment"
— Kern Smith, Vice President of Global Solutions, Zimperium

Il problema delle difese tradizionali

RedWing espone un paradosso delle difese mobile attuali: il malware è tecnicamente rilevabile, ma operativamente invisibile. Non usa exploit, non richiede root, non modifica il sistema: si limita a chiedere permessi che l'utente concede volontariamente, presentandosi con un'interfaccia familiare e un percorso di onboarding costruito ad arte. Le soluzioni di sicurezza convenzionali, progettate per rilevare comportamenti anomali post-compromissione, si trovano a inseguire una minaccia che cambia firma più velocemente di quanto le signature possano essere aggiornate.

Per il settore finanziario, la combinazione di overlay dinamici e inoltro chiamate rappresenta una sfida diretta ai controlli antifrode stratificati. Quando l'attaccante può intercettare l'OTP via SMS, leggere il contenuto dello schermo in tempo reale e dirottare la chiamata di verifica, la catena di fiducia si sposta interamente sul dispositivo endpoint: se quello è compromesso, ogni fattore aggiuntivo diventa semplicemente un ulteriore dato da catturare.

L'identità degli operatori di RedWing resta non confermata: Zimperium indica collegamenti apparenti a threat actor russi, ma si ferma prima di un'attribuzione definitiva. Il dato che conta, per le difese, è che la geografia dell'operatore conta meno della geografia del servizio: Telegram e l'infrastruttura MaaS rendono il punto di origine irrilevante per la protezione del target.

FAQ

RedWing ha bisogno di root o exploit per funzionare?

No. Secondo l'analisi di Zimperium, RedWing opera esclusivamente attraverso sideloading e approvazione dei permessi da parte dell'utente, senza sfruttare vulnerabilità zero-day o richiedere accesso root al dispositivo.

Può essere installato da store ufficiali?

Le fonti non documentano distribuzione tramite Google Play o altri store ufficiali. Il meccanismo di infezione identificato usa pagine finte di app store che mimano l'interfaccia di store legittimi per indurre al sideloading.

Esiste una versione iOS di RedWing?

Il dossier non documenta versioni iOS. Tutte le analisi disponibili si riferiscono esclusivamente alla piattaforma Android.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. thehackernews.com
  2. rapid7.com
  3. zimperium.com
  4. aol.com
  5. news.cybertechworld.co.in