Comment supprimer RedWing Spyware des appareils Android
L'hameçonnage/arnaqueÉgalement connu sous le nom de: RedWing malware
Obtenez une analyse gratuite et vérifiez si votre ordinateur est infecté.
SUPPRIMEZ-LES MAINTENANTPour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.
Quel type de malware est RedWing ?
RedWing est une plateforme commerciale de spyware proposée via un modèle par abonnement, ciblant les utilisateurs Android. Elle est capable d'intercepter les messages SMS, de récolter des identifiants financiers, d'enregistrer de l'audio et de la vidéo, et d'accorder aux attaquants un contrôle à distance total sur les appareils infectés. Selon les recherches publiées par Zimperium, l'opération est liée à des acteurs malveillants russes et suit un modèle Malware-as-a-Service (MaaS) qui permet aux acheteurs de déployer un spyware personnalisé sans expertise technique.

Aperçu du malware RedWing
RedWing est proposé selon un modèle d'abonnement à plusieurs niveaux. L'accès est facturé 10 $ par jour, 60 $ par semaine ou 200 $ par mois, avec également un essai gratuit d'une heure et des arrangements personnalisés pour des périodes plus longues. Les abonnés reçoivent un panneau de contrôle web et un générateur d'APK automatisé qui produit des applications malveillantes prêtes à être déployées, configurées selon leurs spécifications.
L'opération comprend une infrastructure de phishing intégrée qui permet aux opérateurs de construire de fausses pages de boutiques d'applications imitant Google Play, Samsung Galaxy Store et AppGallery. Ces pages peuvent être configurées avec de fausses notes, nombres d'avis et statistiques de téléchargement, les rendant impossibles à distinguer des annonces légitimes des marketplaces.
RedWing a été observé se propageant via de fausses invites de mise à jour diffusées par RuStore, une marketplace mobile russe légitime. L'application malveillante s'installe généralement sous un nom générique et discret afin de ne pas éveiller les soupçons. Une fois installée, elle présente à la victime un assistant de configuration en plusieurs étapes déguisé en écran de configuration de « protection du système ».
À travers ces superpositions d'ingénierie sociale, RedWing demande une série d'autorisations puissantes. Elle demande à devenir l'application SMS par défaut de l'appareil, à obtenir des privilèges de service d'accessibilité, à recevoir un accès administrateur de l'appareil, à contourner l'optimisation de la batterie pour un fonctionnement persistant en arrière-plan et à accéder aux notifications.
Une fois ces autorisations accordées, le malware commence à collecter un large éventail de données personnelles. Il vole les messages SMS, les journaux d'appels et les contacts, énumère les fichiers de l'appareil, suit la localisation géographique, enregistre les frappes au clavier et surveille le presse-papiers. Toutes les données collectées sont transmises au serveur de commande et de contrôle de l'attaquant.
RedWing inclut également de vastes capacités d'accès à distance. Les opérateurs peuvent diffuser l'écran de l'appareil en direct à l'aide d'un module VNC intégré, prendre des captures d'écran, activer la caméra pour capturer des photos ou des vidéos et enregistrer l'audio via le microphone. L'appareil peut également être verrouillé à distance à tout moment.
Une menace financière majeure posée par RedWing est sa capacité d'attaque par superposition, ciblant plus de 82 applications bancaires et de cryptomonnaie avec un fort accent sur les institutions financières russes. Lorsqu'une victime ouvre l'une de ces applications ciblées, un faux écran de connexion convaincant est placé par-dessus pour dérober silencieusement ses identifiants.
Pour déjouer l'authentification à deux facteurs, RedWing intercepte les messages SMS entrants avant que la victime ne puisse les lire. Il peut également rediriger les appels à l'aide de commandes USSD, les transférant silencieusement afin que les codes de vérification vocaux parviennent à l'attaquant plutôt qu'au destinataire prévu.
Au-delà de la surveillance, RedWing peut enrôler les appareils infectés en tant que nœuds d'un botnet pour des attaques HTTP flood coordonnées contre des cibles spécifiées par l'attaquant. Un module proxy intégré permet le tunneling réseau, et le malware prend en charge plus de 150 commandes distantes individuelles couvrant tout, de l'injection de superposition à la gestion de fichiers.
Les développeurs de malwares mettent fréquemment à jour et étendent leurs outils. Les futures itérations de RedWing pourraient présenter des capacités supplémentaires ou différentes de celles documentées ici.
En résumé, la présence de RedWing sur un appareil peut entraîner une perte totale de confidentialité, le vol d'identifiants bancaires et de codes d'authentification, des transactions financières non autorisées et un contrôle à distance complet de l'appareil par un tiers.
| Nom | RedWing malware |
| Type De Menace | Malware Android, application malveillante, application indésirable, logiciel espion. |
| Noms De Détection | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.UY), ESET-NOD32 (Android/Spy.Agent.FEM Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.ko), Liste Complète (VirusTotal) |
| Symptômes | L'appareil fonctionne lentement, les paramètres du système sont modifiés sans l'autorisation de l'utilisateur, des applications douteuses apparaissent, l'utilisation des données et de la batterie augmente considérablement, les navigateurs redirigent vers des sites web douteux, des publicités intrusives sont diffusées. |
| Méthodes De Distribution | Sites de phishing imitant des boutiques d'applications légitimes (Google Play, Samsung Galaxy Store, AppGallery), fausses mises à jour d'applications sur RuStore, canaux Telegram. |
| Dommages | Vol d'informations personnelles (messages SMS, identifiants bancaires, contacts, journaux d'appels, codes d'authentification à deux facteurs), pertes financières, accès à distance non autorisé à l'appareil, usurpation d'identité. |
|
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo CleanerUn scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk. |
Exemples de logiciels espions Android
RedWing est un outil de logiciel espion commercial performant qui donne aux abonnés un contrôle étendu sur les appareils Android infectés. Sa combinaison de modules de fraude financière, de vastes capacités de surveillance et d'une infrastructure MaaS conviviale pour les abonnés en fait une menace sérieuse pour quiconque dont l'appareil est ciblé par un acheteur.
Les logiciels espions et malwares ciblant Android prennent de nombreuses formes. Parmi les exemples de menaces similaires figurent ResidentBat, Landfall et PlainGnome.
Il convient de noter que la plupart des malwares Android sont créés dans un but de gain financier comme motivation principale, bien que des objectifs de surveillance et des buts idéologiques puissent également jouer un rôle. Quelle que soit l'intention, toute menace de ce type doit être supprimée de l'appareil dès qu'elle est identifiée.
Comment RedWing s'est-il infiltré sur mon appareil ?
Les opérateurs de RedWing utilisent des sites de phishing conçus pour ressembler étroitement à des marketplaces d'applications légitimes telles que Google Play, Samsung Galaxy Store et AppGallery. Les victimes sont généralement dirigées vers ces pages par le biais de campagnes ciblées et incitées à télécharger ce qui semble être une application officielle ou une mise à jour requise.
Le malware s'est également propagé sous forme de fausses invites de mise à jour RuStore. Ces notifications prétendent qu'une application installée nécessite une mise à jour obligatoire pour continuer à fonctionner et incluent de faux badges de sécurité pour renforcer la confiance. Accepter la mise à jour télécharge et installe l'APK RedWing sur l'appareil.
Étant donné que le générateur de RedWing permet aux acheteurs de personnaliser le nom de l'application, l'icône et le flux d'autorisations via un bot Telegram, l'apparence de l'application malveillante peut varier considérablement d'une campagne à l'autre. Les utilisateurs doivent se méfier de toute invite d'installation qui apparaît en dehors de la boutique d'applications officielle elle-même.
Comment éviter l'installation de malwares ?
N'installez d'applications qu'à partir du Google Play Store officiel ou du site web vérifié d'un développeur. Évitez de télécharger des fichiers APK partagés via Telegram, les réseaux sociaux, des liens SMS ou tout autre canal non officiel, même si l'invite semble provenir d'une application familière et de confiance.
Examinez attentivement les autorisations des applications avant de les accorder. Les applications légitimes ont rarement besoin d'un accès au service d'accessibilité ou du droit de devenir votre gestionnaire SMS par défaut. Maintenir Android à jour et exécuter une application de sécurité mobile réputée ajoute une solide couche de protection supplémentaire contre les menaces comme RedWing.
Logiciel espion RedWing distribué via une fausse invite de mise à jour RuStore et l'écran Android « Installer des applications inconnues » déclenché lors de l'installation (source : zimperium.com) :

Assistant de configuration des autorisations RedWing demandant l'accès en tant qu'application SMS par défaut, le service d'accessibilité et les privilèges d'administrateur de l'appareil (source : zimperium.com) :

Cartes de demande d'autorisation générées par le générateur RedWing incitant la victime à autoriser le contournement de l'optimisation de la batterie, l'accès aux SMS et l'accès aux notifications (source : zimperium.com) :

Menu rapide :
- Introduction
- Comment supprimer l'historique de navigation du navigateur web Chrome ?
- Comment désactiver les notifications du navigateur dans le navigateur web Chrome ?
- Comment réinitialiser le navigateur web Chrome ?
- Comment supprimer l'historique de navigation du navigateur web Firefox ?
- Comment désactiver les notifications du navigateur dans le navigateur web Firefox ?
- Comment réinitialiser le navigateur web Firefox ?
- Comment désinstaller des applications potentiellement indésirables et/ou malveillantes ?
- Comment démarrer l'appareil Android en « Mode sans échec » ?
- Comment vérifier l'utilisation de la batterie par diverses applications ?
- Comment vérifier l'utilisation des données par diverses applications ?
- Comment installer les dernières mises à jour logicielles ?
- Comment réinitialiser le système à son état par défaut ?
- Comment désactiver les applications qui disposent de privilèges d'administrateur ?
Supprimer l'historique de navigation du navigateur web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « PARAMÈTRES AVANCÉS », choisissez la plage de temps et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à voir l'option « Paramètres des sites » et appuyez dessus. Faites défiler vers le bas jusqu'à voir l'option « Notifications » et appuyez dessus.

Trouvez les sites web qui diffusent des notifications de navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites web pour diffuser des notifications. Cependant, une fois que vous visitez à nouveau le même site, il peut à nouveau demander une autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web ira dans la section « Bloqués » et ne vous demandera plus l'autorisation).
[Retour à la Table des Matières]
Réinitialiser le navigateur web Chrome :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Supprimer l'historique de navigation du navigateur web Firefox :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à voir « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».
[Retour à la Table des Matières]
Désactiver les notifications du navigateur dans le navigateur web Firefox :

Visitez le site web qui diffuse des notifications de navigateur, appuyez sur l'icône affichée à gauche de la barre d'URL (l'icône ne sera pas nécessairement un « Cadenas ») et sélectionnez « Modifier les paramètres du site ».

Dans la fenêtre contextuelle qui s'ouvre, décochez l'option « Notifications » et appuyez sur « EFFACER ».
[Retour à la Table des Matières]
Réinitialiser le navigateur web Firefox :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur éliminera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.
[Retour à la Table des Matières]
Désinstaller des applications potentiellement indésirables et/ou malveillantes :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à voir une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, un message d'erreur s'affiche), vous devriez essayer d'utiliser le « Mode sans échec ».
[Retour à la Table des Matières]
Démarrer l'appareil Android en « Mode sans échec » :
Le « Mode sans échec » du système d'exploitation Android désactive temporairement l'exécution de toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer des applications malveillantes qui empêchent les utilisateurs de le faire lorsque l'appareil fonctionne « normalement »).

Appuyez sur le bouton « Marche/Arrêt » et maintenez-le enfoncé jusqu'à voir l'écran « Éteindre ». Appuyez sur l'icône « Éteindre » et maintenez-la enfoncée. Après quelques secondes, l'option « Mode sans échec » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.
[Retour à la Table des Matières]
Vérifier l'utilisation de la batterie par diverses applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Maintenance de l'appareil » et appuyez dessus.

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.
[Retour à la Table des Matières]
Vérifier l'utilisation des données par diverses applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Connexions » et appuyez dessus.

Faites défiler vers le bas jusqu'à voir « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une énorme utilisation des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. Pour cette raison, vous devriez vérifier l'utilisation des données mobiles et Wi-Fi.

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous conseillons vivement de la désinstaller dès que possible.
[Retour à la Table des Matières]
Installer les dernières mises à jour logicielles :
Maintenir le logiciel à jour est une bonne pratique en matière de sécurité de l'appareil. Les fabricants d'appareils publient continuellement divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bugs qui peuvent être exploités par les cybercriminels. Un système obsolète est bien plus vulnérable, c'est pourquoi vous devriez toujours vous assurer que le logiciel de votre appareil est à jour.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Mise à jour logicielle » et appuyez dessus.

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Le cas échéant, installez-les immédiatement. Nous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » - elle permettra au système de vous avertir dès qu'une mise à jour est publiée et/ou de l'installer automatiquement.
[Retour à la Table des Matières]
Réinitialiser le système à son état par défaut :
Effectuer une « Réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres du système par défaut et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données de l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, pas sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.
Vous pouvez également restaurer les paramètres de base du système et/ou simplement les paramètres réseau.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « À propos du téléphone » et appuyez dessus.

Faites défiler vers le bas jusqu'à voir « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
« Réinitialiser les paramètres » - restaurer tous les paramètres du système par défaut ;
« Réinitialiser les paramètres réseau » - restaurer tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » - réinitialiser l'ensemble du système et supprimer complètement toutes les données stockées ;
[Retour à la Table des Matières]
Désactiver les applications qui disposent de privilèges d'administrateur :
Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour garder l'appareil aussi sûr que possible, vous devriez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à voir « Écran de verrouillage et sécurité » et appuyez dessus.

Faites défiler vers le bas jusqu'à voir « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».

Identifiez les applications qui ne devraient pas avoir de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».
Foire aux questions (FAQ)
Mon appareil Android est infecté par le malware RedWing, dois-je formater mon périphérique de stockage pour m'en débarrasser ?
Le formatage est rarement nécessaire pour la suppression de malwares. Exécuter une solution antivirus mobile réputée telle que Combo Cleaner devrait suffire à détecter et éliminer RedWing de votre appareil sans avoir recours à une réinitialisation d'usine complète.
Quels sont les plus gros problèmes que le malware RedWing peut causer ?
RedWing accorde aux attaquants un contrôle quasi total sur un appareil infecté. Ils peuvent intercepter les messages SMS, y compris les codes d'authentification à deux facteurs, voler les identifiants bancaires via de faux écrans de superposition et accéder à la caméra et au microphone à l'insu de la victime.
Au-delà de la surveillance, les opérateurs peuvent rediriger les appels entrants pour contourner l'authentification par téléphone, verrouiller l'appareil à distance et coordonner plusieurs téléphones infectés pour lancer des attaques de saturation de trafic. De graves pertes financières et l'usurpation d'identité figurent parmi les conséquences réelles les plus probables.
Quel est le but du malware RedWing ?
RedWing est principalement motivé par le profit. Le modèle MaaS permet aux abonnés de payer pour l'accès et d'utiliser la boîte à outils pour voler des identifiants bancaires, récolter des codes d'authentification à deux facteurs, mener une surveillance non autorisée et commettre des fraudes financières.
Compte tenu de l'accent important que le malware met sur les applications financières russes et de ses liens apparents avec des acteurs malveillants russophones, des motivations autres que le gain financier - telles que la collecte de renseignements alignée sur un État - ne peuvent être exclues.
Comment le malware RedWing s'est-il infiltré sur mon appareil Android ?
RedWing arrive le plus souvent via des sites de phishing imitant des boutiques d'applications légitimes telles que Google Play ou RuStore, où les victimes sont invitées à télécharger une fausse mise à jour. Les acheteurs d'abonnement génèrent des APK personnalisés via un bot Telegram et les distribuent via des liens de phishing ou des plateformes de messagerie.
Combo Cleaner me protégera-t-il contre les malwares ?
Combo Cleaner peut détecter et supprimer la grande majorité des infections de malwares connues. Effectuer une analyse complète de l'appareil est particulièrement important pour les menaces comme RedWing, qui s'intègrent profondément grâce aux privilèges d'accessibilité et aux droits d'administrateur de l'appareil.
Partager:
Tomas Meskauskas
Chercheur expert en sécurité, analyste professionnel en logiciels malveillants
Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne.
Le portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un donLe portail de sécurité PCrisk est proposé par la société RCS LT.
Des chercheurs en sécurité ont uni leurs forces pour sensibiliser les utilisateurs d'ordinateurs aux dernières menaces en matière de sécurité en ligne. Plus d'informations sur la société RCS LT.
Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.
Faire un don
▼ Montrer la discussion