Коротко: 7 июля 2026 года компания Zimperium zLabs раскрыла RedWing — готовую платформу Android-вредоноса «по подписке», которую любой желающий арендует через Telegram-бота: с тарифами, скидками за рефералов и обучающими видео. Покупатель собирает своё вредоносное приложение, которое крадёт банковские и криптологины, перехватывает СМС с одноразовыми кодами и даже переадресует антифрод-звонки банка. Исследователи насчитали 82 организации-цели с явным упором на российские банки. Главная защита — ставить приложения только из официальных магазинов, не выдавать Accessibility кому попало и включить уведомления об операциях.
Что произошло
Аналитики Zimperium zLabs опубликовали разбор RedWing — банковского Android-трояна, который продают не как разовый инструмент, а как сервис по подписке. Через Telegram-канал операторы предлагают тарифы, реферальные скидки за дальнейшее распространение вредоноса, документацию продавца и обучающие видео — низкий порог входа, позволяющий запускать мошеннические кампании даже новичкам. Telegram-бот по запросу собирает и обфусцирует свежий вредоносный APK. Поскольку такие атаки почти всегда начинаются со скачивания заражённого файла, сначала стоит освежить базу в нашем гайде как безопасно скачивать приложения и VPN.
RedWing распространяется через фишинговые ссылки, ведущие на поддельные страницы магазинов приложений — под Google Play, Samsung Galaxy Store и Huawei AppGallery; один образец имитировал даже страницу RuStore. Zimperium выявила 82 организации-цели в разных отраслях с выраженным фокусом на российские банки и финансовые сервисы — а значит, под ударом в первую очередь русскоязычные пользователи.
Что умеет RedWing
После установки и выдачи прав Accessibility RedWing даёт оператору почти полный удалённый контроль над телефоном через трансляцию экрана и виртуальное управление устройством. Он накладывает поддельные окна входа поверх банковских и криптоприложений — и всё, что вы вводите, тут же уходит злоумышленнику. Он читает входящие СМС, чтобы забрать одноразовые коды, считывает с экрана PIN-коды и номера карт, ведёт кейлоггинг и крадёт контакты, сообщения, файлы, фото и данные устройства. Ему доступны камера, микрофон и геолокация, а из заражённых устройств злоумышленники могут собирать DDoS-атаки.
Фирменный приём нацелен на телефонную защиту. По команде управляющего сервера RedWing тихо набирает скрытый запрос *21*, включая переадресацию вызовов на номер злоумышленника. Это нейтрализует голосовую двухфакторную аутентификацию и позволяет перехватывать антифрод-звонки, которыми банк подтверждает подозрительный перевод. Чтобы всё это работало, приложение подталкивает пользователя снять ограничения по батарее и выдать права обработчика СМС, доступа к уведомлениям и специальным возможностям (Accessibility).
Чем это опасно для ваших данных и денег
Главная добыча — прямой доступ к вашим счетам. Когда оверлеи, перехват СМС и переадресация звонков работают вместе, злоумышленник может войти под вашим именем, подтвердить переводы и обойти проверки, которые должны это остановить, — попутно забирая переписку, контакты и файлы. Современные банковские трояны не ломают шифрование: они обманывают человека и захватывают экран. Поэтому защита начинается с привычек, а не только с инструментов. О безопасных операциях — в материале безопасный онлайн-банкинг, а если подозреваете, что данные уже утекли, сверьтесь с разбором как проверить утечку персональных данных.
Как защититься?
Ставьте приложения только из официальных магазинов. RedWing живёт на поддельных страницах магазинов, куда ведут фишинговые ссылки. Никогда не устанавливайте APK по ссылке из сообщения, СМС или рекламы и отключите установку из неизвестных источников.
Не выдавайте права Accessibility. Именно это разрешение позволяет RedWing управлять вашим экраном и вводом. «Обоям» или «доставке» оно ни к чему.
Следите за тихой переадресацией звонков. Если входящие вдруг перестали доходить, наберите ##21#, чтобы проверить и отменить переадресацию, и свяжитесь с оператором. Включите уведомления об операциях по картам, чтобы кража всплыла сразу.
Обновляйте Android и Google Play Защиту и используйте двухфакторные методы, не завязанные только на СМС. Чтобы понять, где VPN помогает, а где нет, посмотрите разбор от чего защищает VPN, а от чего нет.
Причём здесь VPN?
Будем честны о границах: VPN не удалит троян, который уже оказался на телефоне, — это задача аккуратной установки приложений и мобильного антивируса. Что VPN действительно закрывает — сетевой уровень, где заражение часто и начинается: он шифрует трафик в недоверенных Wi-Fi, чтобы логины и коды нельзя было перехватить по пути, и скрывает реальный IP от поддельных сайтов и трекеров, которые заманивают жертв. Как устроено шифрование у LiMP VPN, смотрите в описании возможностей, а тариф выбирайте на странице цен. Относитесь к VPN как к одному слою защиты — вместе с безопасной установкой и гигиеной приложений.
Источники
Материал основан на исследовании RedWing, опубликованном 7 июля 2026 года компанией Zimperium zLabs и освещённом изданиями The Hacker News и русскоязычным Anti-Malware.ru.
