O RedWing é um novo kit de malware bancário para Android alugado no Telegram como serviço de assinatura. Descoberto pela equipe zLabs da Zimperium e divulgado em 7 de julho de 2026, ele toma o celular da vítima, captura a senha do banco e intercepta os códigos de autenticação — sem precisar de nenhuma falha do Android. Tudo funciona a partir do momento em que a vítima instala um app fora da loja oficial e aprova as permissões pedidas.
Pontos-chave do RedWing
- O que é: malware como serviço (MaaS) para Android, vendido no Telegram em planos de assinatura.
- Origem: variante do Oblivion, kit de US$ 300/mês documentado no início de 2026.
- Vítimas-alvo: 82 instituições financeiras monitoradas, com foco atual em apps russos.
- Como entra: link de phishing que abre loja falsa imitando Google Play, Galaxy Store e AppGallery.
- Defesa: nunca instalar apps fora da Play Store e bloquear o serviço Accessibility para apps suspeitos.
Como o RedWing é vendido
O The Hacker News descreve o RedWing como um produto completo, não um código solto em fórum obscuro. Ele é oferecido em tiers de assinatura, com desconto por indicação, manuais e vídeos tutoriais. Um bot no Telegram monta, sob demanda, um app personalizado para cada comprador — basta o criminoso escolher quais bancos quer mirar.
Esse modelo é a evolução natural do crime digital. O nome técnico é MaaS (Malware as a Service): em vez de cada golpista programar o próprio vírus, ele paga uma mensalidade, recebe uma dashboard web, escolhe alvos e acompanha os roubos em tempo real. O painel de administração já circula em repositórios públicos no GitHub, com capturas de tela mostrando listas de vítimas, senhas e códigos capturados.
Como o app malicioso entra
Tudo começa num link enviado por SMS, WhatsApp ou e-mail — o mesmo padrão do phishing que já assolou o Brasil com falsos Correios, falsa fiscalização da Receita e falso boleto. Para reconhecer esse tipo de mensagem a tempo, vale revisar como identificar phishing em português em mensagens corporativas e pessoais. O link abre uma loja de apps falsa que imita a Google Play com perfeição: avaliações, número de downloads, layout idêntico.
Quando a vítima instala o app fora da Play Store e abre pela primeira vez, começa a dança das permissões. O RedWing pede tudo em etapas, uma tela por vez, sempre com desculpas que parecem rotina:
- “Permitir notificações” — parece inofensivo.
- “Definir como app padrão de SMS” — justificado como recursos de mensagens.
- “Ignorar otimização de bateria” — para não ser morto pelo sistema.
- “Ativar o serviço Accessibility” — o coração do golpe.
O Accessibility é o serviço que ajuda pessoas com deficiência visual ou motora a usar o celular. Em mãos erradas, ele vira um keylogger poderoso: lê tudo o que aparece na tela, controla toques,fecha alertas de segurança e captura a senha do banco no exato momento em que é digitada.
O que o RedWing faz
Segundo a análise da Zimperium zLabs, o kit opera em duas frentes. A primeira é o acesso por Accessibility: o app fica observando o que aparece na tela e age quando detecta o banco-alvo. A segunda são os overlays — telas falsas que cobrem o app real do banco e pedem dados sensíveis sem levantar suspeita.
As capacidades confirmadas do RedWing incluem:
- Captura de credenciais de apps bancários em tempo real.
- Interceptação de SMS — incluindo o código 2FA enviado pelo banco.
- Controle remoto do aparelho, como se fosse um RAT clássico.
- Overlays sob medida, reprogramáveis pela dashboard sem precisar de novo app.
- Evasão de scanners — parte dos apps gerados não é detectada por antivírus comuns.
O detalhe mais perigoso é que o malware age dentro da sessão legítima da vítima. Em vez de roubar a senha para usar de outro lugar, ele opera no próprio celular comprometido — o IP é da casa da vítima, o dispositivo é o conhecido pelo banco, a sessão é real. Para o sistema de fraude do banco, parece uma operação normal.
Por que o Brasil é alvo
O relatório da Zimperium mostra 82 instituições visadas, com forte concentração em apps russos. Mas o conjunto de técnicas do RedWing é idêntico ao dos trojans bancários que já assolaram o Brasil há anos. Não por acaso: um trojan bancário brasileiro já foi detectado mirando 24 bancos na Europa no início de julho de 2026.
O cenário brasileiro é prato cheio para o modelo MaaS por três motivos:
- Android domina o Brasil — mais de 80% dos celulares em uso rodam o sistema.
- Sideload é prática comum — APKs “modificados”, apps piratas e jogos crackeados são rotina.
- Phishing por WhatsApp é epidêmico — o Brasil é um dos países com mais tentativas de fraude via mensagens.
Quem compra o kit RedWing pode mirar bancos brasileiros a qualquer momento. A lista de apps visados é configurável pela dashboard, e o app é compilado sob encomenda para incluir os alvos escolhidos pelo comprador. A barreira para entrar no crime financeiro acabou de cair mais um degrau.
Como se proteger do RedWing
A primeira linha de defesa é a mais simples: nunca instale apps fora da Play Store. O sideload é o vetor único do RedWing — sem ele, o malware não entra. As recomendações práticas:
- Mantenha o Google Play Protect ligado. Ele bloqueia apps com comportamento suspeito, mesmo os vindos de fora da loja.
- Desconfie de qualquer app que peça Accessibility. Esse recurso é para leitores de tela e ferramentas de acessibilidade reais. Nenhum app de banco, mensagens ou jogo precisa dele.
- Nunca defina um app desconhecido como padrão de SMS. O sistema de mensagens do Android, ou apps consolidados, são a única opção segura.
- Não clique em links de SMS ou WhatsApp que prometem rastreamento de encomenda, fiscalização, conta vencida ou bônus bancário.
- Ative autenticação por app no banco, não por SMS. Apps como Google Authenticator ou o app do próprio banco são imunes à interceptação de SMS.
Em celulares corporativos, o time de TI pode forçar essas regras: bloquear sideload em massa e bloquear qualquer app que peça Accessibility ou papel de SMS padrão. O custo é zero e a eficácia, alta.
MaaS: o crime virou assinatura
O RedWing não é caso isolado. A Zimperium cita pelo menos três kits russos idênticos no mercado: Fantasy Hub (2025), Albiriox (mirando mais de 400 apps financeiros) e Klopatra (que drenava contas enquanto as vítimas dormiam). O padrão é claro: o crime financeiro em Android deixou de ser arte de especialista e virou commodity — uma lógica parecida com a do ARToken, kit de phishing como serviço que rouba tokens do Microsoft 365.
Para o consumidor brasileiro, isso muda a conversa. A velha recomendação “não clique em links suspeitos” continua valendo, mas o conceito importante é outro: o app que você instala é mais perigoso que o link que você clica. Um APK instalado fora da Play Store, com permissões de Accessibility e SMS, é essencialmente entregar as chaves do celular a um estranho. Não importa se a marca é bonita, se as avaliações são altas ou se a promessa é atraente.
A barreira do crime caiu
O caso RedWing ilustra uma tendência incômoda da segurança digital em 2026. Kits como esse transformam golpistas amadores em operadores sofisticados. Onde antes era preciso programar malware, hoje basta pagar uma mensalidade. O resultado é maior volume de ataques, com qualidade técnica crescente, atingindo vítimas que nunca imaginariam estar na mira.
A boa notícia é que a defesa não mudou. Continua sendo uma combinação de bom senso digital — instalar só da Play Store, negar Accessibility a apps estranhos, desconfiar de SMS de “banco” — com tecnologia acessível, como o Play Protect nativo do Android. A camada humana ainda decide o resultado final.