RedWing Spyware verwijderen van Android-apparaten
Phishing/OplichtingOok bekend als: RedWing malware
Doe een gratis scan en controleer of uw computer is geïnfecteerd.
VERWIJDER HET NUOm het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.
Wat voor soort malware is RedWing?
RedWing is een commercieel spyware-platform dat wordt aangeboden via een abonnementsmodel en zich richt op Android-gebruikers. Het is in staat om sms-berichten te onderscheppen, financiële inloggegevens te verzamelen, audio en video op te nemen en aanvallers volledige controle op afstand over geïnfecteerde apparaten te geven. Volgens onderzoek gepubliceerd door Zimperium is de operatie gelinkt aan Russische bedreigingsactoren en volgt deze een Malware-as-a-Service (MaaS)-model dat kopers in staat stelt om aangepaste spyware in te zetten zonder technische expertise.

Overzicht van RedWing-malware
RedWing wordt aangeboden via een gelaagd abonnementsmodel. Toegang kost $10 per dag, $60 per week of $200 per maand, met ook een gratis proefperiode van een uur en aangepaste regelingen voor langere periodes. Abonnees ontvangen een webgebaseerd bedieningspaneel en een geautomatiseerde APK-builder die kant-en-klare kwaadaardige applicaties genereert, geconfigureerd volgens hun specificaties.
De operatie omvat een ingebouwde phishing-infrastructuur waarmee operators valse app store-pagina's kunnen bouwen die zich voordoen als Google Play, Samsung Galaxy Store en AppGallery. Deze pagina's kunnen worden geconfigureerd met valse beoordelingen, recensieaantallen en downloadstatistieken, waardoor ze niet te onderscheiden zijn van legitieme marktplaatsvermeldingen.
Er is waargenomen dat RedWing zich verspreidt via valse updatemeldingen die worden geleverd via RuStore, een legitieme Russische mobiele marktplaats. De kwaadaardige applicatie installeert zich doorgaans onder een generieke, onopvallende naam om geen argwaan te wekken. Eenmaal geïnstalleerd, presenteert het het slachtoffer een meerstaps-installatiewizard die is vermomd als een "systeembeveiliging"-configuratiescherm.
Via deze social engineering-overlays vraagt RedWing een reeks krachtige machtigingen aan. Het vraagt om de standaard-sms-applicatie van het apparaat te worden, om toegangsprivileges voor de Accessibility Service, om apparaatbeheerderstoegang, om batterijoptimalisatie te omzeilen voor persistente achtergrondwerking, en om toegang tot meldingen.
Zodra die machtigingen zijn verleend, begint de malware met het verzamelen van een breed scala aan persoonlijke gegevens. Het steelt sms-berichten, oproeplogboeken en contacten, inventariseert bestanden op het apparaat, volgt de geografische locatie, registreert toetsaanslagen en bewaakt het klembord. Alle verzamelde gegevens worden verzonden naar de command-and-control-server van de aanvaller.
RedWing beschikt ook over uitgebreide mogelijkheden voor externe toegang. Operators kunnen het apparaatscherm live streamen via een ingebouwde VNC-module, screenshots maken, de camera activeren om foto's of video's te maken, en audio opnemen via de microfoon. Het apparaat kan ook op elk moment op afstand worden vergrendeld.
Een grote financiële dreiging die RedWing vormt, is de mogelijkheid tot overlay-aanvallen, gericht op meer dan 82 bank- en cryptovaluta-applicaties met een sterke focus op Russische financiële instellingen. Wanneer een slachtoffer een van deze doelapps opent, wordt er een overtuigend vals inlogscherm bovenop geplaatst om stiekem de inloggegevens te stelen.
Om tweefactorauthenticatie te verslaan, onderschept RedWing inkomende sms-berichten voordat het slachtoffer ze kan lezen. Het kan ook oproepen omleiden met behulp van USSD-commando's, waarbij ze stiekem worden doorgestuurd zodat op spraak gebaseerde verificatiecodes bij de aanvaller terechtkomen in plaats van bij de beoogde ontvanger.
Naast surveillance kan RedWing geïnfecteerde apparaten inzetten als knooppunten in een botnet voor gecoördineerde HTTP-flood-aanvallen tegen door de aanvaller gespecificeerde doelen. Een ingebouwde proxymodule maakt netwerktunneling mogelijk, en de malware ondersteunt meer dan 150 individuele externe commando's die alles omvatten, van overlay-injectie tot bestandsbeheer.
Malware-ontwikkelaars werken hun tools vaak bij en breiden ze uit. Toekomstige versies van RedWing kunnen aanvullende of andere mogelijkheden bevatten dan hier beschreven.
Samengevat kan de aanwezigheid van RedWing op een apparaat leiden tot volledig verlies van privacy, diefstal van bankgegevens en authenticatiecodes, ongeautoriseerde financiële transacties, en volledige controle op afstand van het apparaat door een derde partij.
| Naam | RedWing malware |
| Type Dreiging | Android-malware, kwaadaardige applicatie, ongewenste applicatie, spyware. |
| Detectienamen | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.UY), ESET-NOD32 (Android/Spy.Agent.FEM Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.ko), Volledige Lijst (VirusTotal) |
| Symptomen | Het apparaat werkt traag, systeeminstellingen worden gewijzigd zonder toestemming van de gebruiker, twijfelachtige applicaties verschijnen, data- en batterijverbruik nemen aanzienlijk toe, browsers leiden om naar twijfelachtige websites, opdringerige advertenties worden weergegeven. |
| Distributiemethoden | Phishing-sites die zich voordoen als legitieme app stores (Google Play, Samsung Galaxy Store, AppGallery), valse applicatie-updates op RuStore, Telegram-kanalen. |
| Schade | Gestolen persoonlijke informatie (sms-berichten, bankgegevens, contacten, oproeplogboeken, tweefactorauthenticatiecodes), financiële verliezen, ongeautoriseerde externe toegang tot het apparaat, identiteitsdiefstal. |
| Malware verwijderen (Windows) |
Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. Combo Cleaner voor Windows DownloadenGratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk. |
Voorbeelden van Android-spyware
RedWing is een capabele commerciële spyware-tool die abonnees uitgebreide controle geeft over geïnfecteerde Android-apparaten. De combinatie van modules voor financiële fraude, brede surveillancemogelijkheden en abonnee-vriendelijke MaaS-infrastructuur maakt het een ernstige dreiging voor iedereen wiens apparaat een koper ervoor kiest om aan te vallen.
Op Android gerichte spyware en malware komt in vele vormen voor. Voorbeelden van vergelijkbare dreigingen zijn ResidentBat, Landfall en PlainGnome.
Het is vermeldenswaard dat de meeste Android-malware wordt gemaakt met financieel gewin als het primaire motief, hoewel surveillancedoelen en ideologische doelen ook een rol kunnen spelen. Ongeacht de intentie moet elke dergelijke dreiging van het apparaat worden verwijderd zodra deze wordt geïdentificeerd.
Hoe is RedWing mijn apparaat binnengedrongen?
De operators van RedWing gebruiken phishing-sites die zijn vormgegeven om sterk te lijken op legitieme app-marktplaatsen zoals Google Play, Samsung Galaxy Store en AppGallery. Slachtoffers worden doorgaans naar deze pagina's geleid via gerichte campagnes en aangemoedigd om iets te downloaden dat lijkt op een officiële app of een vereiste update.
De malware heeft zich ook verspreid als valse RuStore-updatemeldingen. Deze meldingen beweren dat een geïnstalleerde applicatie een verplichte update nodig heeft om te blijven functioneren en bevatten valse beveiligingsbadges om vertrouwen op te bouwen. Het accepteren van de update downloadt en installeert de RedWing-APK op het apparaat.
Omdat de RedWing-builder kopers in staat stelt om de app-naam, het pictogram en het machtigingsproces via een Telegram-bot aan te passen, kan het uiterlijk van de kwaadaardige applicatie aanzienlijk variëren tussen campagnes. Gebruikers moeten wantrouwig zijn tegenover elke installatiemelding die buiten de officiële app store zelf verschijnt.
Hoe kunt u de installatie van malware voorkomen?
Installeer applicaties alleen vanuit de officiële Google Play Store of de geverifieerde website van een ontwikkelaar. Vermijd het downloaden van APK-bestanden die worden gedeeld via Telegram, sociale media, sms-links of enig ander onofficieel kanaal, zelfs als de melding afkomstig lijkt van een bekende en vertrouwde app.
Bekijk app-machtigingen zorgvuldig voordat u ze verleent. Legitieme applicaties hebben zelden toegang tot de Accessibility Service nodig of het recht om uw standaard-sms-app te worden. Het up-to-date houden van Android en het gebruiken van een gerenommeerde mobiele beveiligingsapplicatie voegt een sterke extra beschermingslaag toe tegen dreigingen zoals RedWing.
RedWing-spyware verspreid via een valse RuStore-updatemelding en het Android-scherm "Onbekende apps installeren" dat tijdens de installatie wordt geactiveerd (bron: zimperium.com):

RedWing-machtigingsinstallatiewizard die toegang vraagt tot de standaard-sms-app, de Accessibility Service en apparaatbeheerdersprivileges (bron: zimperium.com):

Door de RedWing-builder gegenereerde machtigingsverzoekkaarten die het slachtoffer vragen om het omzeilen van batterijoptimalisatie, sms-toegang en toegang tot meldingen toe te staan (bron: zimperium.com):

Snelmenu:
- Inleiding
- Hoe verwijdert u de browsegeschiedenis uit de Chrome-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Chrome-webbrowser?
- Hoe reset u de Chrome-webbrowser?
- Hoe verwijdert u de browsegeschiedenis uit de Firefox-webbrowser?
- Hoe schakelt u browsermeldingen uit in de Firefox-webbrowser?
- Hoe reset u de Firefox-webbrowser?
- Hoe verwijdert u potentieel ongewenste en/of kwaadaardige applicaties?
- Hoe start u het Android-apparaat op in "Veilige modus"?
- Hoe controleert u het batterijverbruik van verschillende applicaties?
- Hoe controleert u het dataverbruik van verschillende applicaties?
- Hoe installeert u de nieuwste software-updates?
- Hoe reset u het systeem naar de standaardstatus?
- Hoe schakelt u applicaties uit die beheerdersprivileges hebben?
Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".
Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll omlaag totdat u de optie "Site-instellingen" ziet en tik erop. Scroll omlaag totdat u de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen leveren, tik erop en klik op "Wissen en resetten". Hiermee worden de machtigingen verwijderd die aan deze websites zijn verleend om meldingen te leveren. Zodra u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze machtigingen wilt verlenen of niet (als u ervoor kiest te weigeren, gaat de website naar de sectie "Geblokkeerd" en zal deze u niet langer om toestemming vragen).
Reset de Chrome-webbrowser:

Ga naar "Instellingen", scroll omlaag totdat u "Apps" ziet en tik erop.

Scroll omlaag totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens zullen worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie stippen in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll omlaag totdat u "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die u wilt verwijderen en tik op "GEGEVENS WISSEN".
Schakel browsermeldingen uit in de Firefox-webbrowser:

Bezoek de website die browsermeldingen levert, tik op het pictogram dat links van de URL-balk wordt weergegeven (het pictogram is niet noodzakelijkerwijs een "Slot") en selecteer "Site-instellingen bewerken".

Vink in de geopende pop-up de optie "Meldingen" aan en tik op "WISSEN".
Reset de Firefox-webbrowser:

Ga naar "Instellingen", scroll omlaag totdat u "Apps" ziet en tik erop.

Scroll omlaag totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat het resetten van de browser alle daarin opgeslagen gegevens zal verwijderen. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaardinstellingen en andere gegevens zullen worden verwijderd. U zult ook opnieuw moeten inloggen op alle websites.
Verwijder potentieel ongewenste en/of kwaadaardige applicaties:

Ga naar "Instellingen", scroll omlaag totdat u "Apps" ziet en tik erop.

Scroll omlaag totdat u een potentieel ongewenste en/of kwaadaardige applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om de een of andere reden de geselecteerde app niet kunt verwijderen (u krijgt bijvoorbeeld een foutmelding), moet u proberen de "Veilige modus" te gebruiken.
Start het Android-apparaat op in "Veilige modus":
De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk het uitvoeren van alle applicaties van derden uit. Deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die u verhinderen dit te doen wanneer het apparaat "normaal" werkt).

Druk op de "Aan/uit"-knop en houd deze ingedrukt totdat u het scherm "Uitschakelen" ziet. Tik op het pictogram "Uitschakelen" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Veilige modus" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.
Controleer het batterijverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll omlaag totdat u "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het verbruik van elke applicatie. Legitieme/authentieke applicaties zijn ontworpen om zo weinig mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en energie te besparen. Daarom kan een hoog batterijverbruik erop wijzen dat de applicatie kwaadaardig is.
Controleer het dataverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll omlaag totdat u "Verbindingen" ziet en tik erop.

Scroll omlaag totdat u "Dataverbruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/authentieke applicaties ontworpen om het dataverbruik zoveel mogelijk te minimaliseren. Dit betekent dat een enorm dataverbruik kan wijzen op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties mogelijk zijn ontworpen om alleen te werken wanneer het apparaat is verbonden met een draadloos netwerk. Om deze reden moet u zowel het mobiele als het wifi-dataverbruik controleren.

Als u een applicatie vindt die veel data verbruikt, hoewel u deze nooit gebruikt, raden we u ten zeerste aan deze zo snel mogelijk te verwijderen.
Installeer de nieuwste software-updates:
Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van het apparaat. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs op te lossen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd zeker van zijn dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll omlaag totdat u "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Zo ja, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen - hiermee kan het systeem u op de hoogte stellen zodra een update wordt uitgebracht en/of deze automatisch installeren.
Reset het systeem naar de standaardstatus:
Het uitvoeren van een "Fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen naar standaard te herstellen en het apparaat in het algemeen op te schonen. U moet er echter rekening mee houden dat alle gegevens op het apparaat zullen worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt hersteld naar de oorspronkelijke staat.
U kunt ook de basissysteeminstellingen en/of gewoon de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll omlaag totdat u "Over de telefoon" ziet en tik erop.

Scroll omlaag totdat u "Resetten" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
"Instellingen resetten" - herstel alle systeeminstellingen naar standaard;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar standaard;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;
Schakel applicaties uit die beheerdersprivileges hebben:
Als een kwaadaardige applicatie privileges op beheerdersniveau krijgt, kan deze het systeem ernstig beschadigen. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke privileges hebben en degene uitschakelen die dat niet zouden mogen hebben.

Ga naar "Instellingen", scroll omlaag totdat u "Vergrendelscherm en beveiliging" ziet en tik erop.

Scroll omlaag totdat u "Andere beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "Apparaatbeheer-apps".

Identificeer applicaties die geen beheerdersprivileges zouden mogen hebben, tik erop en tik vervolgens op "DEACTIVEREN".
Veelgestelde vragen (FAQ)
Mijn Android-apparaat is geïnfecteerd met RedWing-malware, moet ik mijn opslagapparaat formatteren om het kwijt te raken?
Formatteren is zelden vereist voor het verwijderen van malware. Het uitvoeren van een gerenommeerde mobiele antivirusoplossing zoals Combo Cleaner zou voldoende moeten zijn om RedWing van uw apparaat te detecteren en te elimineren zonder toevlucht te nemen tot een volledige fabrieksreset.
Wat zijn de grootste problemen die RedWing-malware kan veroorzaken?
RedWing geeft aanvallers bijna volledige controle over een geïnfecteerd apparaat. Ze kunnen sms-berichten onderscheppen, inclusief tweefactorauthenticatiecodes, bankgegevens stelen via valse overlay-schermen, en toegang krijgen tot de camera en microfoon zonder medeweten van het slachtoffer.
Naast surveillance kunnen operators inkomende oproepen omleiden om telefoongebaseerde authenticatie te omzeilen, het apparaat op afstand vergrendelen, en meerdere geïnfecteerde telefoons coördineren om verkeersfloodaanvallen te lanceren. Ernstige financiële verliezen en identiteitsdiefstal behoren tot de meest waarschijnlijke gevolgen in de praktijk.
Wat is het doel van RedWing-malware?
RedWing is primair winstgedreven. Het MaaS-model stelt abonnees in staat om te betalen voor toegang en de toolkit te gebruiken om bankgegevens te stelen, tweefactorauthenticatiecodes te verzamelen, ongeautoriseerde surveillance uit te voeren en financiële fraude te plegen.
Gezien de sterke focus van de malware op Russische financiële applicaties en de schijnbare banden met Russischsprekende bedreigingsactoren, kunnen motieven die verder gaan dan financieel gewin - zoals staatsgebonden inlichtingenvergaring - niet worden uitgesloten.
Hoe is RedWing-malware mijn Android-apparaat binnengedrongen?
RedWing komt meestal binnen via phishing-sites die zich voordoen als legitieme app stores zoals Google Play of RuStore, waar slachtoffers worden gevraagd een valse update te downloaden. Abonnementskopers genereren aangepaste APK's via een Telegram-bot en verspreiden ze via phishing-links of berichtenplatforms.
Zal Combo Cleaner mij beschermen tegen malware?
Combo Cleaner kan de overgrote meerderheid van bekende malware-infecties detecteren en verwijderen. Het uitvoeren van een volledige apparaatscan is bijzonder belangrijk voor dreigingen zoals RedWing, die zich diep nestelen via toegankelijkheidsprivileges en apparaatbeheerdersrechten.
Delen:
Tomas Meskauskas
Deskundig beveiligingsonderzoeker, professioneel malware-analist
Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's.
Het beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
DonerenHet beveiligingsportaal PCrisk wordt aangeboden door het bedrijf RCS LT.
Gecombineerde krachten van beveiligingsonderzoekers helpen computergebruikers voorlichten over de nieuwste online beveiligingsrisico's. Meer informatie over het bedrijf RCS LT.
Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.
Doneren
▼ Toon discussie