Para peneliti keamanan dari Zimperium baru-baru ini mengungkap sebuah operasi Malware-as-a-Service (MaaS) Android yang ambisius dan canggih bernama RedWing, yang menawarkan spyware Android sebagai layanan berlangganan melalui channel Telegram dan memiliki koneksi yang kuat dengan aktor ancaman berbasis Rusia. Operasi ini bukan sekadar malware biasa yang dibuat oleh satu individu — ini adalah bisnis terstruktur dengan model langganan berjenjang, skema referral untuk afiliasi, dan bot Telegram yang secara otomatis membangun dan menyesuaikan APK sesuai pesanan pelanggan. RedWing merepresentasikan profesionalisasi kejahatan siber mobile yang mencapai tingkat baru dalam hal skalabilitas dan aksesibilitas.
Model bisnis MaaS yang diterapkan RedWing sangat menarik dari sudut pandang analisis threat landscape. Seperti layanan sah lainnya, RedWing menawarkan beberapa tier langganan dengan fitur dan harga yang berbeda. Pelanggan bisa memilih paket berdasarkan jumlah fitur yang diaktifkan, durasi berlangganan, dan jumlah perangkat target yang ingin dikompromi. Skema referral memberikan insentif kepada pelanggan yang berhasil merekrut pengguna baru, menciptakan jaringan distribusi yang tumbuh secara organik. Pendekatan bisnis ini secara drastis menurunkan barrier to entry bagi penjahat siber yang ingin melakukan operasi spionase Android — mereka tidak perlu keterampilan pemrograman, cukup membayar langganan dan mendapatkan APK siap pakai.
Bot Telegram yang menjadi frontend operasi RedWing dirancang dengan antarmuka yang intuitif dan mudah digunakan. Melalui bot ini, pelanggan bisa melakukan kustomisasi payload secara interaktif — memilih fitur-fitur yang ingin diaktifkan, menentukan C2 server, mengatur level anti-detection, dan bahkan memilih tampilan visual dari aplikasi dropper. Proses pembuatan APK dilakukan secara otomatis oleh server RedWing dan hasilnya langsung dikirimkan ke pelanggan melalui Telegram. Penggunaan Telegram sebagai platform distribusi sangat strategis karena menawarkan enkripsi end-to-end, anonimitas relatif, dan akses global yang sulit diblokir oleh otoritas keamanan siber nasional.
Salah satu komponen paling canggih dalam arsenal RedWing adalah Dropper Constructor, yang mampu membuat aplikasi dropper dengan tampilan yang meniru beberapa platform distribusi aplikasi resmi. Dropper ini bisa menampilkan layout yang meniru Google Play Store, Samsung Galaxy Store, dan Huawei AppGallery — tiga platform distribusi aplikasi paling besar di dunia dengan total miliaran pengguna. Korban yang melihat halaman download yang meniru platform resmi ini akan merasa percaya bahwa mereka mengunduh aplikasi dari sumber yang legitimate. Teknik social engineering berbasis visual ini sangat efektif karena mengeksploitasi kepercayaan yang sudah dibangun oleh platform distribusi resmi terhadap penggunanya.
Onboarding Constructor melengkapi Dropper dengan halaman izin palsu yang dirancang untuk mendapatkan consent pengguna terhadap permissions berbahaya. Halaman ini menampilkan daftar izin yang tampak wajar dan berkaitan dengan fungsi aplikasi yang dipalsukan, sehingga korban dengan senang hati memberikan izin yang sebenarnya membuka jalan bagi malware untuk beroperasi secara penuh. Dengan kombinasi Dropper Constructor dan Onboarding Constructor, RedWing menciptakan full infection chain yang dimulai dari social engineering visual hingga perolehan izin sistem yang diperlukan untuk operasi spionase — semuanya tanpa pengetahuan teknis dari pelanggan yang membeli layanan ini.
Kemampuan RAT (Remote Access Trojan) RedWing mencakup VNC (Virtual Network Computing) remote desktop, live screen streaming, dan keylogging yang komprehensif. VNC remote desktop memberikan penyerang kontrol penuh atas perangkat target seolah-olah mereka memegang perangkat tersebut secara fisik. Live screen streaming memungkinkan pemantauan aktivitas layar secara real-time tanpa mengambil alih kontrol, berguna untuk pengawasan pasif yang tidak meningkatkan keterbatasan performa perangkat. Keylogging merekam setiap input keyboard pada perangkat target, termasuk pesan chat, credential login, dan data sensitif lainnya. Kombinasi ketiga fitur ini memberikan penyerang gambaran lengkap tentang aktivitas digital korban dari berbagai sudut pandang yang saling melengkapi.
Serangan overlay menjadi andalan utama RedWing dalam pencurian credential perbankan, dengan target mencakup 82 institusi keuangan berbeda dengan fokus utama pada bank-bank Rusia. Overlay attack bekerja dengan menampilkan halaman login palsu di atas aplikasi banking legitimate saat korban membuka aplikasi banking di perangkatnya. Halaman login palsu ini secara visual identik dengan halaman login asli, sehingga korban memasukkan credential tanpa menyadari bahwa data mereka langsung dikirim ke server penyerang. Fokus pada bank Rusia mengindikasikan bahwa operator RedWing memiliki afinitas atau sponsorship dari aktor ancaman Rusia yang menarget sesama warga negara Rusia, atau mungkin beroperasi dengan perlindungan dari otoritas Rusia.
Salah satu fitur RedWing yang paling berbahaya dan inovatif adalah kemampuan call forwarding melalui kode USSD *21*. Dengan mengirimkan kode USSD *21*[nomor forwarding]#, RedWing bisa mengaktifkan call forwarding dari perangkat korban ke nomor yang dikontrol oleh penyerang. Teknik ini sangat efektif untuk melewati verifikasi 2FA berbasis suara (voice call) yang digunakan oleh banyak layanan perbankan dan fintech. Ketika bank mengirimkan kode verifikasi melalui panggilan suara ke nomor korban, panggilan tersebut secara otomatis diteruskan ke penyerang yang kemudian bisa mendengarkan kode verifikasi dan menggunakannya untuk mengakses akun korban. Metode ini sangat sulit dideteksi oleh korban karena tidak ada indikator visual atau notifikasi yang menunjukkan bahwa call forwarding telah diaktifkan.
Kemampuan DDoS (Distributed Denial of Service) dari perangkat victim menjadikan RedWing bukan hanya tool spionase tetapi juga potensial botnet. Dengan mengumpulkan cukup banyak perangkat yang terinfeksi, operator RedWing bisa melancarkan serangan DDoS terhadap target tertentu menggunakan bandwidth dan IP address dari ribuan perangkat korban. Fitur manajemen SIM dan proxy tunneling memungkinkan RedWing untuk mengelola beberapa SIM card dan mengarahkan traffic melalui proxy bertingkat untuk mempersulit tracing. Kemampuan capture kamera dan mikrofon menambahkan dimensi spionase fisik yang memungkinkan pengawasan visual dan audio dari lingkungan korban.
Dengan lebih dari 80 command server-issued yang terdokumentasi, RedWing memiliki cakupan kemampuan yang sangat luas melebihi banyak RAT komersial. Command-command ini mencakup seluruh lifecycle infeksi mulai dari instalasi, persistensi, eskalasi privilese, pengumpulan data, exfiltration, hingga anti-forensik. Setiap command dirancang untuk aspek spesifik dari operasi spionase atau pencurian, dan operator bisa mengaktifkan atau menonaktifkan command berdasarkan kampanye spesifik yang sedang dijalankan. Dari perspektif pertahanan, pemahaman tentang command-command ini sangat penting untuk membangun deteksi dan mitigasi yang efektif terhadap ancaman RedWing di lingkungan enterprise.
Analisa Retasan
RedWing merepresentasikan evolusi paling mengkhawatirkan dalam ekosistem malware Android: profesionalisasi kejahatan siber menjadi model bisnis berlangganan yang terjangkau dan mudah diakses. Dengan barrier to entry yang semakin rendah berkat model MaaS, potensi korban bertambah bukan karena teknik baru yang canggih, tetapi karena jumlah operator yang semakin banyak. Untuk institusi keuangan di Indonesia, kombinasi overlay attack terhadap 82 bank, call forwarding USSD untuk bypass 2FA, dan DDoS capability menunjukkan bahwa RedWing bukan sekadar ancaman teoritis — ini adalah platform operasional yang siap digunakan untuk menarget layanan keuangan di kawasan Asia Tenggara.
Yang perlu mendapat perhatian serius dari tim keamanan siber Indonesia adalah kemampuan call forwarding USSD *21* yang secara efektif bisa menonaktifkan verifikasi 2FA berbasis suara. Banyak bank dan fintech di Indonesia masih mengandalkan voice call sebagai metode 2FA, yang kini terbukti rentan terhadap serangan ini. Institusi keuangan harus segera mengevaluasi migrasi ke metode 2FA yang lebih resistant seperti hardware token, TOTP (Time-based One-Time Password) melalui authenticator apps, atau push notification-based authentication yang tidak bisa diintersep melalui call forwarding. Selain itu, monitoring terhadap aktivitas USSD pada perangkat mobile yang terdaftar dalam MDM (Mobile Device Management) harus menjadi standar operasional.
Sumber: Zimperium – RedWing: A Mobile Malware-as-a-Service Operation | Tags: RedWing, MaaS, Android RAT, Banking Trojan, Overlay Attack