Cómo eliminar RedWing Spyware de dispositivos Android

Estafa

Conocido también como: malware RedWing

Nivel de peligrosidad:

Obtenga un escaneo gratuito y verifique si su computadora está infectada.

ELIMÍNELO AHORA

Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

¿Qué tipo de malware es RedWing?

RedWing es una plataforma comercial de spyware ofrecida mediante un modelo de suscripción, dirigida a usuarios de Android. Es capaz de interceptar mensajes SMS, recopilar credenciales financieras, grabar audio y vídeo, y otorgar a los atacantes control remoto total sobre los dispositivos infectados. Según una investigación publicada por Zimperium, la operación está vinculada a actores de amenazas rusos y sigue un modelo de Malware-as-a-Service (MaaS) que permite a los compradores desplegar spyware personalizado sin conocimientos técnicos.

Instalación del spyware RedWing a través de un aviso falso de actualización de RuStore

Descripción general del malware RedWing

RedWing se ofrece mediante un modelo de suscripción por niveles. El acceso tiene un precio de 10 $ por día, 60 $ por semana o 200 $ por mes, con una prueba gratuita de una hora disponible y acuerdos personalizados para períodos más largos. Los suscriptores reciben un panel de control basado en web y un generador automatizado de APK que produce aplicaciones maliciosas listas para desplegar, configuradas según sus especificaciones.

La operación incluye una infraestructura de phishing integrada que permite a los operadores crear páginas falsas de tiendas de aplicaciones que suplantan a Google Play, Samsung Galaxy Store y AppGallery. Estas páginas pueden configurarse con valoraciones, recuentos de reseñas y estadísticas de descargas falsas, lo que las hace indistinguibles de las fichas legítimas del mercado.

Se ha observado que RedWing se propaga a través de avisos falsos de actualización distribuidos mediante RuStore, un mercado móvil ruso legítimo. La aplicación maliciosa suele instalarse con un nombre genérico y discreto para no levantar sospechas. Una vez instalada, presenta a la víctima un asistente de configuración de varios pasos disfrazado de pantalla de configuración de «protección del sistema».

A través de estas superposiciones de ingeniería social, RedWing solicita una serie de permisos poderosos. Pide convertirse en la aplicación de SMS predeterminada del dispositivo, obtener privilegios de Servicio de Accesibilidad, recibir acceso de administrador del dispositivo, eludir la optimización de la batería para una operación persistente en segundo plano y acceder a las notificaciones.

Una vez concedidos esos permisos, el malware comienza a recopilar una amplia gama de datos personales. Roba mensajes SMS, registros de llamadas y contactos, enumera los archivos del dispositivo, rastrea la ubicación geográfica, registra las pulsaciones de teclas y monitorea el portapapeles. Todos los datos recopilados se transmiten al servidor de comando y control del atacante.

RedWing también incluye amplias capacidades de acceso remoto. Los operadores pueden transmitir la pantalla del dispositivo en directo mediante un módulo VNC integrado, tomar capturas de pantalla, activar la cámara para capturar fotos o vídeo, y grabar audio a través del micrófono. El dispositivo también puede bloquearse de forma remota en cualquier momento.

Una amenaza financiera importante que plantea RedWing es su capacidad de ataque por superposición, que apunta a más de 82 aplicaciones bancarias y de criptomonedas con un fuerte enfoque en las instituciones financieras rusas. Cuando una víctima abre una de estas aplicaciones objetivo, se coloca encima una convincente pantalla de inicio de sesión falsa para robar silenciosamente sus credenciales.

Para vencer la autenticación de dos factores, RedWing intercepta los mensajes SMS entrantes antes de que la víctima pueda leerlos. También puede redirigir llamadas mediante comandos USSD, reenviándolas silenciosamente para que los códigos de verificación por voz lleguen al atacante en lugar del destinatario previsto.

Más allá de la vigilancia, RedWing puede alistar dispositivos infectados como nodos en una botnet para ataques coordinados de inundación HTTP contra objetivos especificados por el atacante. Un módulo proxy integrado permite el tunelado de red, y el malware admite más de 150 comandos remotos individuales que abarcan desde la inyección de superposiciones hasta la gestión de archivos.

Los desarrolladores de malware actualizan y amplían con frecuencia sus herramientas. Las futuras iteraciones de RedWing podrían tener capacidades adicionales o diferentes de las documentadas aquí.

En resumen, la presencia de RedWing en un dispositivo puede provocar la pérdida total de la privacidad, el robo de credenciales bancarias y códigos de autenticación, transacciones financieras no autorizadas y el control remoto completo del dispositivo por parte de un tercero.

Resumen de la Amenaza:
Nombre malware RedWing
Tipo De Amenaza Malware para Android, aplicación maliciosa, aplicación no deseada, spyware.
Nombres De Detección Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android.Trojan.SpyAgent.UY), ESET-NOD32 (Android/Spy.Agent.FEM Trojan), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.ko), Lista Completa (VirusTotal)
Síntomas El dispositivo funciona lento, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones cuestionables, el uso de datos y batería aumenta significativamente, los navegadores redirigen a sitios web cuestionables, se muestran anuncios intrusivos.
Métodos De Distribución Sitios de phishing que suplantan tiendas de aplicaciones legítimas (Google Play, Samsung Galaxy Store, AppGallery), actualizaciones falsas de aplicaciones en RuStore, canales de Telegram.
Daño Robo de información personal (mensajes SMS, credenciales bancarias, contactos, registros de llamadas, códigos de autenticación de dos factores), pérdidas económicas, acceso remoto no autorizado al dispositivo, robo de identidad.
Eliminación de Malware

Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner.

Descargue Combo Cleaner para Windows

El detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.

Ejemplos de spyware para Android

RedWing es una potente herramienta de spyware comercial que otorga a los suscriptores un amplio control sobre los dispositivos Android infectados. Su combinación de módulos de fraude financiero, amplias capacidades de vigilancia e infraestructura MaaS orientada al suscriptor lo convierte en una amenaza grave para cualquiera cuyo dispositivo un comprador decida atacar.

El spyware y el malware dirigidos a Android adoptan muchas formas. Ejemplos de amenazas similares incluyen ResidentBat, Landfall y PlainGnome.

Cabe señalar que la mayoría del malware para Android se crea con la ganancia económica como motivo principal, aunque los objetivos de vigilancia y las metas ideológicas también pueden desempeñar un papel. Independientemente de la intención, cualquier amenaza de este tipo debe eliminarse del dispositivo tan pronto como se identifique.

¿Cómo se infiltró RedWing en mi dispositivo?

Los operadores de RedWing utilizan sitios de phishing diseñados para parecerse mucho a mercados de aplicaciones legítimos como Google Play, Samsung Galaxy Store y AppGallery. Por lo general, se dirige a las víctimas a estas páginas a través de campañas dirigidas y se les anima a descargar lo que parece ser una aplicación oficial o una actualización requerida.

El malware también se ha propagado como avisos falsos de actualización de RuStore. Estas notificaciones afirman que una aplicación instalada necesita una actualización obligatoria para seguir funcionando e incluyen insignias de seguridad falsas para generar confianza. Aceptar la actualización descarga e instala el APK de RedWing en el dispositivo.

Debido a que el generador de RedWing permite a los compradores personalizar el nombre de la aplicación, el icono y el flujo de permisos a través de un bot de Telegram, la apariencia de la aplicación maliciosa puede variar significativamente entre campañas. Los usuarios deben desconfiar de cualquier aviso de instalación que aparezca fuera de la tienda de aplicaciones oficial en sí.

¿Cómo evitar la instalación de malware?

Instale aplicaciones únicamente desde la tienda oficial Google Play Store o desde el sitio web verificado de un desarrollador. Evite descargar archivos APK compartidos a través de Telegram, redes sociales, enlaces por SMS o cualquier otro canal no oficial, incluso si el aviso parece provenir de una aplicación conocida y de confianza.

Revise cuidadosamente los permisos de las aplicaciones antes de concederlos. Las aplicaciones legítimas rara vez necesitan acceso al Servicio de Accesibilidad o el derecho a convertirse en su gestor de SMS predeterminado. Mantener Android actualizado y ejecutar una aplicación de seguridad móvil de confianza añade una sólida capa adicional de protección contra amenazas como RedWing.

El spyware RedWing distribuido a través de un aviso falso de actualización de RuStore y la pantalla de Android «Instalar aplicaciones desconocidas» activada durante la instalación (fuente: zimperium.com):

El spyware RedWing distribuido a través de una actualización falsa de RuStore y que activa el aviso de Android 'Instalar aplicaciones desconocidas'

El asistente de configuración de permisos de RedWing que solicita acceso como aplicación de SMS predeterminada, Servicio de Accesibilidad y privilegios de administrador del dispositivo (fuente: zimperium.com):

El asistente de configuración de permisos del spyware RedWing que solicita acceso como aplicación de SMS predeterminada, Servicios de Accesibilidad y privilegios de administrador del dispositivo

Las tarjetas de solicitud de permisos generadas por el generador de RedWing que solicitan a la víctima permitir la elusión de la optimización de batería, el acceso a SMS y el acceso a notificaciones (fuente: zimperium.com):

Las pantallas de solicitud de permisos generadas por el generador del spyware RedWing para la elusión de la optimización de batería, el acceso a SMS y las notificaciones

Menú rápido:

Eliminar el historial de navegación del navegador web Chrome:

Eliminar el historial de navegación web de Chrome en el sistema operativo Android (paso 1)

Toque el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Historial» en el menú desplegable que se abre.

Eliminar el historial de navegación web de Chrome en el sistema operativo Android (paso 2)

Toque «Borrar datos de navegación», seleccione la pestaña «AVANZADO», elija el intervalo de tiempo y los tipos de datos que desea eliminar y toque «Borrar datos».

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Chrome:

Desactivar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 1)

Toque el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Configuración» en el menú desplegable que se abre.

Desactivar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea la opción «Configuración de sitios web» y tóquela. Desplácese hacia abajo hasta que vea la opción «Notificaciones» y tóquela.

Desactivar las notificaciones del navegador en el navegador Chrome en el sistema operativo Android (paso 3)

Encuentre los sitios web que envían notificaciones del navegador, tóquelos y haga clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, una vez que vuelva a visitar el mismo sitio, es posible que le pida permiso de nuevo. Puede elegir si concede o no estos permisos (si elige rechazarlos, el sitio web pasará a la sección «Bloqueado» y ya no le pedirá el permiso).

[Volver al índice]

Restablecer el navegador web Chrome:

Restablecer el navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Aplicaciones» y tóquelo.

Restablecer el navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta encontrar la aplicación «Chrome», selecciónela y toque la opción «Almacenamiento».

Restablecer el navegador Chrome a los valores predeterminados en el sistema operativo Android (paso 3)

Toque «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirme la acción tocando «ACEPTAR». Tenga en cuenta que restablecer el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Eliminar el historial de navegación del navegador web Firefox:

Eliminar el historial de navegación de Firefox en el sistema operativo Android (paso 1)

Toque el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y seleccione «Historial» en el menú desplegable que se abre.

Eliminar el historial de navegación de Firefox en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea «Borrar datos privados» y tóquelo. Seleccione los tipos de datos que desea eliminar y toque «BORRAR DATOS».

[Volver al índice]

Desactivar las notificaciones del navegador en el navegador web Firefox:

Desactivar las notificaciones del navegador en el navegador web Firefox en el sistema operativo Android (paso 1)

Visite el sitio web que envía notificaciones del navegador, toque el icono que se muestra a la izquierda de la barra de URL (el icono no será necesariamente un «Candado») y seleccione «Editar configuración del sitio».

Desactivar las notificaciones del navegador en el navegador web Firefox en el sistema operativo Android (paso 2)

En la ventana emergente que se abre, seleccione la opción «Notificaciones» y toque «BORRAR».

[Volver al índice]

Restablecer el navegador web Firefox:

Restablecer el navegador Firefox en el sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Aplicaciones» y tóquelo.

Restablecer el navegador Firefox en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta encontrar la aplicación «Firefox», selecciónela y toque la opción «Almacenamiento».

Restablecer el navegador Firefox en el sistema operativo Android (paso 3)

Toque «BORRAR DATOS» y confirme la acción tocando «ELIMINAR». Tenga en cuenta que restablecer el navegador eliminará todos los datos almacenados en él. Esto significa que se eliminarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.

[Volver al índice]

Desinstalar aplicaciones potencialmente no deseadas o maliciosas:

Eliminar aplicaciones no deseadas/maliciosas del sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Aplicaciones» y tóquelo.

Eliminar aplicaciones no deseadas/maliciosas del sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada o maliciosa, selecciónela y toque «Desinstalar». Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, aparece un mensaje de error), debería intentar utilizar el «Modo seguro».

[Volver al índice]

Iniciar el dispositivo Android en «Modo seguro»:

El «Modo seguro» en el sistema operativo Android desactiva temporalmente la ejecución de todas las aplicaciones de terceros. Usar este modo es una buena manera de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «normalmente»).

Iniciar el dispositivo Android en Modo seguro

Pulse el botón «Encendido» y manténgalo presionado hasta que vea la pantalla «Apagar». Toque el icono «Apagar» y manténgalo presionado. Después de unos segundos aparecerá la opción «Modo seguro» y podrá ejecutarlo reiniciando el dispositivo.

[Volver al índice]

Comprobar el uso de batería de varias aplicaciones:

Comprobar el uso de batería de varias aplicaciones en el sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Mantenimiento del dispositivo» y tóquelo.

Comprobar el uso de batería de varias aplicaciones en el sistema operativo Android (paso 2)

Toque «Batería» y compruebe el uso de cada aplicación. Las aplicaciones legítimas/genuinas están diseñadas para usar la menor energía posible con el fin de ofrecer la mejor experiencia de usuario y ahorrar energía. Por lo tanto, un alto uso de batería puede indicar que la aplicación es maliciosa.

[Volver al índice]

Comprobar el uso de datos de varias aplicaciones:

Comprobar el uso de datos de varias aplicaciones en el sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Conexiones» y tóquelo.

Comprobar el uso de datos de varias aplicaciones en el sistema operativo Android (paso 2)

Desplácese hacia abajo hasta que vea «Uso de datos» y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/genuinas están diseñadas para minimizar el uso de datos tanto como sea posible. Esto significa que un uso de datos enorme puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas podrían estar diseñadas para operar solo cuando el dispositivo está conectado a una red inalámbrica. Por esta razón, debe comprobar el uso de datos tanto de la red móvil como de Wi-Fi.

Comprobar el uso de datos de varias aplicaciones en el sistema operativo Android (paso 3)

Si encuentra una aplicación que usa muchos datos aunque nunca la utilice, le recomendamos encarecidamente que la desinstale lo antes posible.

[Volver al índice]

Instalar las últimas actualizaciones de software:

Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad del dispositivo. Los fabricantes de dispositivos publican continuamente diversos parches de seguridad y actualizaciones de Android con el fin de corregir errores y fallos que pueden ser aprovechados por los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, razón por la cual siempre debe asegurarse de que el software de su dispositivo esté actualizado.

Instalar actualizaciones de software en el sistema operativo Android (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Actualización de software» y tóquelo.

Instalar actualizaciones de software en el sistema operativo Android (paso 2)

Toque «Descargar actualizaciones manualmente» y compruebe si hay actualizaciones disponibles. Si es así, instálelas de inmediato. También recomendamos activar la opción «Descargar actualizaciones automáticamente»: esto permitirá que el sistema le notifique cuando se publique una actualización o la instale automáticamente.

[Volver al índice]

Restablecer el sistema a su estado predeterminado:

Realizar un «Restablecimiento de fábrica» es una buena manera de eliminar todas las aplicaciones no deseadas, restaurar la configuración del sistema a los valores predeterminados y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluyendo fotos, archivos de vídeo/audio, números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.

También puede restaurar la configuración básica del sistema o simplemente la configuración de red.

Restablecer el sistema operativo Android a sus valores predeterminados (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Acerca del teléfono» y tóquelo.

Restablecer el sistema operativo Android a sus valores predeterminados (paso 2)

Desplácese hacia abajo hasta que vea «Restablecer» y tóquelo. Ahora elija la acción que desea realizar:
«Restablecer configuración»: restaura toda la configuración del sistema a los valores predeterminados;
«Restablecer configuración de red»: restaura toda la configuración relacionada con la red a los valores predeterminados;
«Restablecimiento de datos de fábrica»: restablece todo el sistema y elimina completamente todos los datos almacenados;

[Volver al índice]

Desactivar las aplicaciones que tienen privilegios de administrador:

Si una aplicación maliciosa obtiene privilegios de nivel de administrador, puede dañar seriamente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debe comprobar qué aplicaciones tienen dichos privilegios y desactivar las que no deberían tenerlos.

Desactivar las aplicaciones de Android que tienen privilegios de administrador (paso 1)

Vaya a «Configuración», desplácese hacia abajo hasta que vea «Pantalla de bloqueo y seguridad» y tóquelo.

Desactivar las aplicaciones de Android que tienen privilegios de administrador (paso 2)

Desplácese hacia abajo hasta que vea «Otras configuraciones de seguridad», tóquelo y luego toque «Aplicaciones de administración del dispositivo».

Desactivar las aplicaciones de Android que tienen privilegios de administrador (paso 3)

Identifique las aplicaciones que no deberían tener privilegios de administrador, tóquelas y luego toque «DESACTIVAR».

Preguntas frecuentes (FAQ)

Mi dispositivo Android está infectado con el malware RedWing, ¿debería formatear mi dispositivo de almacenamiento para deshacerme de él?

El formateo rara vez es necesario para eliminar malware. Ejecutar una solución antivirus móvil de confianza como Combo Cleaner debería ser suficiente para detectar y eliminar RedWing de su dispositivo sin recurrir a un restablecimiento de fábrica completo.

¿Cuáles son los mayores problemas que puede causar el malware RedWing?

RedWing otorga a los atacantes un control casi total sobre un dispositivo infectado. Pueden interceptar mensajes SMS, incluidos los códigos de autenticación de dos factores, robar credenciales bancarias mediante pantallas de superposición falsas, y acceder a la cámara y al micrófono sin el conocimiento de la víctima.

Más allá de la vigilancia, los operadores pueden redirigir las llamadas entrantes para eludir la autenticación basada en el teléfono, bloquear el dispositivo de forma remota y coordinar varios teléfonos infectados para lanzar ataques de inundación de tráfico. Las pérdidas económicas graves y el robo de identidad se encuentran entre los resultados más probables en el mundo real.

¿Cuál es el propósito del malware RedWing?

RedWing está impulsado principalmente por el lucro. El modelo MaaS permite a los suscriptores pagar por el acceso y utilizar el kit de herramientas para robar credenciales bancarias, recopilar códigos de autenticación de dos factores, realizar vigilancia no autorizada y cometer fraude financiero.

Dado el fuerte enfoque del malware en las aplicaciones financieras rusas y sus aparentes vínculos con actores de amenazas de habla rusa, no se pueden descartar motivaciones más allá de la ganancia económica, como la recopilación de inteligencia alineada con un Estado.

¿Cómo se infiltró el malware RedWing en mi dispositivo Android?

RedWing suele llegar con mayor frecuencia a través de sitios de phishing que suplantan tiendas de aplicaciones legítimas como Google Play o RuStore, donde se solicita a las víctimas que descarguen una actualización falsa. Los compradores de la suscripción generan APK personalizados a través de un bot de Telegram y los distribuyen mediante enlaces de phishing o plataformas de mensajería.

¿Me protegerá Combo Cleaner del malware?

Combo Cleaner puede detectar y eliminar la gran mayoría de las infecciones de malware conocidas. Realizar un análisis completo del dispositivo es especialmente importante para amenazas como RedWing, que se incrustan profundamente a través de privilegios de accesibilidad y derechos de administrador del dispositivo.

Compartir:

facebook
X (Twitter)
linkedin
copiar enlace
Tomas Meskauskas

Tomas Meskauskas

Investigador experto en seguridad, analista profesional de malware

Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.

▼ Mostrar discusión

El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.

Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.

Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.

Donar