RedHook Android: malware bancario più pericoloso

RedHook Android: malware bancario più pericoloso

RedHook torna su Android in una versione più pericolosa e molto più difficile da eliminare: il malware sfrutta social engineering, APK falsi, permessi di Accessibilità e ADB wireless per ottenere accesso profondo allo smartphone. Una volta attivo, può controllare lo schermo, registrare input, rubare dati sensibili e mantenersi vivo anche dopo tentativi di chiusura.

RedHook Android: il malware bancario torna più aggressivo

RedHook è un trojan bancario per smartphone che sta attirando l’attenzione degli analisti di sicurezza per un motivo preciso: non si limita a rubare dati, ma cerca di ottenere un controllo molto profondo del dispositivo.

La nuova versione riprende le funzioni tipiche di un RAT, quindi un malware da accesso remoto. Può trasmettere lo schermo, intercettare input, raccogliere informazioni e aiutare gli attaccanti a muoversi dentro lo smartphone della vittima.

Il salto più delicato riguarda l’abuso di ADB Wireless Debugging, una funzione nata per sviluppatori e utenti esperti. RedHook la sfrutta per ottenere privilegi di livello shell, senza bisogno di root e senza collegare il telefono a un computer.

RedHook Android: come entra nello smartphone

L’attacco parte quasi sempre da un raggiro. Gli utenti vengono contattati tramite messaggi, telefonate, email o social, con finti operatori o presunti rappresentanti di organizzazioni affidabili.

A quel punto vengono spinti a installare un APK malevolo, spesso tramite siti falsi che imitano l’aspetto del Google Play Store. Qui arriva il primo errore pericoloso: installare app fuori dagli store ufficiali, soprattutto quando il link arriva da canali non verificati.

Dopo l’installazione, l’app chiede i permessi di Accessibilità. La richiesta viene presentata come necessaria per far funzionare il servizio, ma in realtà permette al malware di simulare tocchi, leggere schermate e guidare lo smartphone senza che l’utente capisca cosa sta succedendo.

RedHook Android: il malware usa ADB wireless contro l’utente

La parte più tecnica è anche quella più preoccupante. RedHook può usare i permessi di Accessibilità per aprire le impostazioni, attivare le opzioni sviluppatore e abilitare Wireless Debugging.

Da lì il malware completa il pairing ADB direttamente sul dispositivo. In pratica, il telefono diventa host e bersaglio nello stesso momento, senza PC esterno.

Questo passaggio dà al malware privilegi più alti rispetto a una normale app Android. Può modificare impostazioni protette, concedersi permessi sensibili, eseguire comandi e installare o rimuovere componenti in modo molto più silenzioso.

Secondo dei report, RedHook integra anche parti collegate a Shizuku, uno strumento legittimo usato da utenti esperti per dare ad alcune app accessi avanzati senza root. Qui, però, la logica viene piegata a scopo malevolo.

Perché è difficile da rimuovere

RedHook non punta solo a entrare nel telefono: punta anche a restare vivo.

La nuova versione usa più tecniche di persistenza. Tra queste ci sono WakeLock, attività quasi invisibili da 1×1 pixel, audio silenzioso e servizi che si controllano a vicenda.

Il meccanismo più interessante è quello definito come “resurrezione” tra due processi. Se un servizio viene terminato, l’altro lo riavvia e se viene chiuso il secondo, il primo prova a riportarlo in vita.

In più, il malware può riattivarsi dopo il riavvio del telefono e ripristinare i privilegi già ottenuti. Questo rende la rimozione più complessa rispetto a molte app malevole tradizionali.

Cosa può rubare

Una volta attivo, RedHook può diventare molto pericoloso per dati bancari e informazioni personali.

Il malware può intercettare ciò che l’utente digita, osservare lo schermo, raccogliere credenziali, leggere codici e seguire le azioni svolte sul dispositivo. In uno scenario bancario, questo significa poter arrivare a conti, app finanziarie, conferme e dati sensibili.

Si parla anche di una infrastruttura di comando più ampia, con 53 comandi server-side supportati dalla versione analizzata. Questo indica una piattaforma criminale più matura, non un esperimento isolato.

Attacchi partiti dal Sud-est asiatico

RedHook era stato osservato in precedenza contro utenti in Vietnam. La nuova attività mostra segnali di espansione anche verso Indonesia e più in generale verso il Sud-est asiatico.

Questo non significa che il malware sia oggi una minaccia diretta e diffusa in Europa. Però il metodo è importante, perché molte campagne Android seguono percorsi simili: partono in un’area, vengono raffinate, poi cambiano lingua, brand imitati e bersagli.

Per gli utenti italiani, la lezione resta valida. Le truffe che spingono a installare APK fuori dallo store ufficiale sono ancora uno dei canali più rischiosi su Android.

RedHook Android: come proteggersi

La prima regola è banale, ma resta la più importante: installare app solo da Google Play o da store affidabili del produttore.

Inoltre, bisogna evitare APK ricevuti tramite messaggi, link accorciati, email, chat social o finti portali di assistenza. Anche quando il sito sembra simile a Google Play, il dominio e il percorso di installazione vanno controllati con attenzione.

Occhio anche ai permessi di Accessibilità. Se un’app appena scaricata chiede di controllare lo schermo, leggere contenuti o simulare tocchi, serve fermarsi subito: sono permessi potenti, pensati per esigenze specifiche, non per qualunque app.

Conviene poi mantenere Android aggiornato, usare Play Protect, non attivare le opzioni sviluppatore senza motivo e disinstallare subito app sospette. Se il telefono mostra comportamenti strani, come schermo che resta acceso, consumo anomalo di batteria o app difficili da chiudere, meglio intervenire rapidamente.

Google deve chiudere meglio il varco ADB

Il caso mostra un problema delicato. ADB wireless è uno strumento utile, ma nelle mani sbagliate diventa una scorciatoia verso privilegi molto alti.

Un report segnala che Google starebbe lavorando a protezioni più rigide dentro Advanced Protection, anche con limitazioni all’accesso alle opzioni sviluppatore. Sarebbe una direzione corretta, perché molti utenti non hanno bisogno di queste funzioni nella vita quotidiana.

Il tema resta sempre lo stesso: Android deve restare aperto per sviluppatori e utenti avanzati, ma non può lasciare troppo spazio a malware capaci di trasformare strumenti legittimi in armi contro chi usa lo smartphone.

RedHook è un allarme da non ignorare

RedHook non è il solito malware generico da cancellare con leggerezza. La combinazione tra social engineering, APK falsi, permessi di Accessibilità, ADB wireless e tecniche anti-rimozione lo rende molto più insidioso.

La buona notizia è che l’infezione richiede ancora passaggi evitabili: cliccare un link, installare un APK esterno e concedere permessi sensibili. Quindi la prevenzione resta efficace.

La cattiva notizia è che, una volta superate quelle barriere, RedHook può arrivare molto in profondità. E quando un malware riesce a controllare schermo, input e impostazioni avanzate, il rischio per dati bancari e identità digitale diventa concreto.

Per chi usa Android, la regola pratica è semplice: niente APK fuori store se non si sa esattamente cosa si sta facendo, massima attenzione ai permessi di Accessibilità e diffidenza verso qualunque messaggio che chiede di installare “l’app giusta” da un link.

Condividi articolo f X
Lascia un commento