Der Infektionsweg beginnt laut Zimperium mit einem Phishing-Link, der auf eine gefälschte App-Store-Seite führt. Der Dropper-Baukasten kann Seiten nachahmen, die wie Google Play, Galaxy Store oder AppGallery aussehen, oder vollständig eigene Seiten erzeugen. Dazu gehören auch gefälschte Bewertungen, Rezensionen und Download-Zahlen. Ziel ist es, Nutzer zur Installation einer App außerhalb offizieller Stores zu bewegen und sie zur Freigabe der angeforderten Berechtigungen zu verleiten.
Die App fordert diese Rechte schrittweise an. Im Hintergrund läuft eine harmlos wirkende Webseite, während Einblendungen nacheinander Berechtigungen als alltägliche Funktionen darstellen: das Abschalten von Akku-Beschränkungen, das Festlegen der App als Standard-Anwendung für SMS sowie das Aktivieren von Benachrichtigungen. Zusätzlich verlangt RedWing die Freigabe des Android-Bedienungshilfedienstes. Genau diese Funktion missbraucht Schadsoftware, um Bildschirminhalte auszulesen und das Smartphone zu steuern.
Mit diesen Rechten erhält RedWing weitreichende Kontrolle über das Gerät. Käufer legen dabei ihre Ziele selbst fest, und die Malware trennt ihr Zielsystem in zwei Bereiche. Die Apps, die sie über die Bedienungshilfe überwacht, werden laut den Forschern fest in jede einzelne Variante eingebaut. Das spreche dafür, dass nach Auswahl der Ziele jeweils eine neue App auf Bestellung erzeugt wird. Die Overlay-Ziele lassen sich dagegen später über das Kontrollpanel ändern, ohne eine neue App verteilen zu müssen.
Zimperium zählte 82 anvisierte Institutionen aus mehreren Sektoren, mit einem starken Schwerpunkt auf russischen Finanzunternehmen. Diese Liste könne sich jedoch jederzeit ändern. Hinweise deuten den Forschern zufolge auf den russischen Markt: In einer Probe tauchte eine gefälschte Seite für Russlands RuStore auf. Experten sehen Anzeichen für eine Verbindung zu russischen Bedrohungsakteuren, bestätigen das aber ausdrücklich nicht.
RedWing fügt sich laut Zimperium in eine breitere Entwicklung der Android-Kriminalität ein, bei der Betrug direkt auf dem Gerät stattfindet. Die Forscher verweisen in diesem Zusammenhang auf Fantasy Hub, ein nahezu identisches Miet-Kit für den russischen Markt, das im vergangenen Jahr auffiel. Ähnliche Techniken fanden sie außerdem bei Albiriox, das auf mehr als 400 Finanz-Apps abzielte, sowie bei Klopatra, das mit versteckter Fernsteuerung und gefälschten Overlays Konten leer räumte, während die Opfer schliefen.
Ein Android-Exploit ist für RedWing nicht nötig. Die Malware funktioniert nur, wenn Nutzer die App außerhalb offizieller Stores installieren und die Abfragen bestätigen. Auf verwalteten Geräten lassen sich dieselben Entscheidungen zentral durchsetzen, etwa durch das Blockieren von Sideloading und das Markieren von Apps, die den Bedienungshilfedienst oder die Rolle als Standard-SMS-App anfordern. Zimperium hat außerdem Indikatoren für eine Kompromittierung veröffentlicht. Weil sich das Kit optisch neu verpacken lässt und Overlay-Ziele über ein Panel austauschbar sind, kann derselbe Code immer wieder unter neuen Namen auftauchen. Nach Einschätzung der Forscher ist deshalb das Verhalten aussagekräftiger als der App-Name.
