🔍 Contexte
Publié le 7 juillet 2026 par Vishnu Pratapagiri (Zimperium zLabs), cet article présente l’analyse technique complète de RedWing, un nouveau spyware Android distribué sous forme de Malware-as-a-Service (MaaS) via un canal Telegram. Le malware présente des liens avec des acteurs de menace russes et est considéré comme une variante évoluée du malware Oblivion, en raison de similarités au niveau du dropper et des overlays.
🎯 Modèle commercial et distribution
RedWing est commercialisé via un bot Telegram permettant la création, l’obfuscation et la personnalisation d’APK malveillants sans compétences techniques avancées. Le modèle économique inclut :
- Abonnements par paliers (subscription tiers)
- Programme de parrainage avec remises incitatives
- Distribution via des sites de phishing mobiles imitant Google Play, Galaxy Store, AppGallery et RuStore
⚙️ Fonctionnalités techniques
RedWing embarque un arsenal complet :
- Exfiltration de données : SMS, contacts, journaux d’appels, fichiers (/sdcard), galerie photos
- Contrôle à distance : streaming d’écran en temps réel via VNC (MediaProjection API), verrouillage d’écran
- Keylogging en temps réel transmis via WebSocket
- Overlays bancaires et crypto : 82 institutions ciblées, majoritairement russes, avec injection de templates HTML personnalisés
- Interception 2FA : définition comme gestionnaire SMS par défaut, redirection d’appels via USSD (
*21*<numéro>#) - Capture audio/vidéo : activation distante du microphone (MediaRecorder API) et des caméras
- DDoS : flood HTTP multi-threadé depuis les appareils infectés
- Évasion : dissimulation de l’icône, chargement dynamique de DEX chiffré depuis les assets, obfuscation
- Proxy tunnel et redirection de session VNC vers de nouveaux serveurs C2
🏗️ Infrastructure C2
Le panneau d’administration centralise la gestion des victimes, la personnalisation des overlays, la construction de droppers et le lancement de commandes. Les communications utilisent HTTP et WebSocket. Les APK sont compilés côté serveur dynamiquement selon les cibles définies par l’opérateur. Un module de gestion de campagnes de phishing multi-plateformes de messagerie est annoncé comme fonctionnalité à venir.
📋 Permissions et commandes
Le malware cible les permissions Android critiques : SMS par défaut, Accessibilité, Notifications, Overlay, Administration de l’appareil. Il dispose de plus de 100 commandes documentées couvrant la surveillance, le contrôle, l’injection, la gestion de sessions proxy et les attaques DDoS.
📊 Type d’article
Il s’agit d’une analyse technique approfondie publiée par un éditeur de sécurité mobile (Zimperium), visant à documenter les capacités de RedWing, exposer son infrastructure MaaS et fournir des indicateurs de compromission à la communauté CTI.
🧠 TTPs et IOCs détectés
TTP
- T1660 — Phishing (Initial Access)
- T1624.001 — Event Triggered Execution: Broadcast Receivers (Persistence)
- T1655.001 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
- T1516 — Input Injection (Defense Evasion)
- T1406.002 — Obfuscated Files or Information: Software Packing (Defense Evasion)
- T1417.001 — Input Capture: Keylogging (Credential Access)
- T1417.002 — Input Capture: GUI Input Capture (Credential Access)
- T1517 — Access Notifications (Credential Access)
- T1426 — System Information Discovery (Discovery)
- T1418 — Software Discovery (Discovery)
- T1513 — Screen Capture (Collection)
- T1512 — Capture Camera (Collection)
- T1429 — Audio Capture (Collection)
- T1616 — Call Control (Collection)
- T1636.002 — Protected User Data: Call Log (Collection)
- T1636.003 — Protected User Data: Contact List (Collection)
- T1636.004 — Protected User Data: SMS Messages (Collection)
- T1437.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1481.002 — Web Service: Bidirectional Communication (Command and Control)
- T1646 — Exfiltration Over C2 Channel (Exfiltration)
- T1582 — SMS Control (Impact)
IOC
- Chemins :
/sdcard
Malware / Outils
- RedWing (rat)
- Oblivion (rat)
🟡 Indice de vérification factuelle : 46/100 (moyenne)
- ⬜ zimperium.com — source non référencée (0pts)
- ✅ 31031 chars — texte complet (fulltext extrait) (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 21 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://zimperium.com/blog/redwing-a-mobile-malware-as-a-service-operation