Nuovo giorno e nuova minaccia per i nostri smartphone, e in questo caso anche per i conti corrente. Un nuovo malware è stato appena scovato dai ricercatori di cybersicurezza di Group-IB e riguarda Android: si tratta più precisamente di una nuova versione di RedHook, che riesce a sfruttare il meccanismo di debug wireless di Android (Wireless ADB) per ottenere privilegi senza la necessità di una connessione al PC. Scopriamola più da vicino e vediamo a cosa fare attenzione.

Segui TuttoAndroid su Google Discover

RedHook arriva in una nuova versione: il trojan è ancora più pericoloso

RedHook è un trojan di accesso remoto (RAT) che può infiltrarsi nei dispositivi quando le vittime cliccano su link inviati via SMS, e-mail e le varie piattaforme. Rispetto alla versione in circolazione dallo scorso anno, quella nuova amplia significativamente le sue capacità, riuscendo allo stesso tempo a mantenere le sue caratteristiche principali, che gli consentono di trasmettere lo schermo, intercettare i tasti premuti, automatizzare le interazioni e rubare le credenziali di accesso.

Le vittime vengono “convinte” a installare un APK, solitamente tramite un sito web falso (magari simile al Google Play Store), e quindi indotte a concedere autorizzazioni di accessibilità con la scusa che siano necessarie per il corretto funzionamento dell’app. Sfruttando queste ultime, il malware è in grado di abilitare di nascosto Wireless ADB, accedendo alle Opzioni sviluppatore e ottenendo così l’accesso alla shell (UID 2000) e quindi il pieno controllo del dispositivo. A questo punto RedHook riesce ad accedere tra le altre cose alla sequenza di quanto premuto, con conseguenze disastrose per password e credenziali (e non solo).

Questa nuova versione di RedHook risulta ancora più subdola della precedente: il malware è ora più complicato da rimuovere, ed è in grado di ingannare il sistema per mantenerlo sempre attivo; può persino mantenere lo schermo acceso abilitando un pixel praticamente impercettibile all’utente, convincendo il sistema operativo che non debba essere terminato. Inoltre, secondo quanto riportato dai ricercatori, il trojan sfrutta quello che viene definito come un meccanismo di resurrezione a due servizi: senza entrare troppo nello specifico, questi due possono resuscitarsi a vicenda quando l’altro viene interrotto.

malware RedHook

Secondo quanto riportato, il malware include anche routine specifiche per i produttori di dispositivi per l’abilitazione del debug wireless (ADB). Per una determinata ROM, esegue una sequenza di gesti in più fasi, guidata dalle impostazioni di accessibilità, per attivare il debug wireless. Nel codice sono presenti implementazioni specifiche per marca, come Google, Huawei, Meizu, OPPO, Samsung, Vivo e Xiaomi, anche se per il momento non vengono attualmente richiamate in nessuna fase del flusso di esecuzione: questo suggerisce che potrebbero essere destinate a un utilizzo futuro.

Dove è diffuso e come proteggersi

Al momento la nuova versione di RedHook sembra concentrarsi sugli utenti asiatici, ed è particolarmente presente in Vietnam e in Indonesia, ma non è da escludere che possa ulteriormente allargarsi in futuro.

La prima misura di prevenzione è sempre la stessa, ossia scaricare le app sempre da fonti ufficiali come il Google Play Store, ma bisogna stare molto attenti che si tratti dello store legittimo (e non di un falso). Inoltre, anche installando app direttamente dal Play Store, bisogna sempre fare attenzione ai permessi richiesti e alla loro coerenza: se ad esempio un’app che fa da calcolatrice richiede un’enorme quantità di autorizzazioni ingiustificate, meglio diffidare e rivolgersi ad altro. Naturalmente rimane il consiglio di evitare di cliccare su qualsiasi link sospetto inviato via e-mail, WhatsApp o nelle varie app social, anche se proviene da contatti fidati.

Per approfondire la questione RedHook dal punto di vista tecnico potete seguire questo link.