redhook android rat

RedHook: il nuovo malware Android che prende il controllo totale del telefono senza bisogno del root

🛡️ Executive Summary

  • La nuova variante di RedHook sfrutta ADB Wireless e Shizuku per ottenere privilegi shell senza root.
  • Il malware amplia le capacità di controllo remoto con 53 comandi, streaming dello schermo e persistenza multilivello.
  • Le campagne colpiscono soprattutto Vietnam e Indonesia attraverso APK distribuiti con tecniche di ingegneria sociale.

Il trojan Android RedHook continua la propria evoluzione con una variante che segna un importante salto qualitativo nelle tecniche di compromissione dei dispositivi mobili. Gli analisti di Group-IB hanno documentato una versione aggiornata del malware che abbandona la tradizionale dipendenza dai dispositivi con privilegi di root per sfruttare invece funzionalità legittime integrate nel sistema operativo Android. Attraverso l’abuso del Wireless ADB Debugging e del framework Shizuku, RedHook riesce infatti a ottenere privilegi di shell normalmente riservati agli sviluppatori, ampliando notevolmente le proprie capacità operative. La campagna prende di mira prevalentemente utenti del Vietnam, dell’Indonesia e di altri Paesi del Sud-est asiatico, facendo ricorso a sofisticate tecniche di ingegneria sociale per convincere le vittime a installare applicazioni malevole e ad abilitare autorizzazioni particolarmente sensibili. Il risultato è un malware capace di controllare il dispositivo in maniera molto più estesa rispetto alle versioni precedenti, mantenendo al tempo stesso un’elevata capacità di persistenza.

RedHook sfrutta ADB Wireless per ottenere privilegi senza root

Annuncio

L’innovazione principale introdotta nella nuova variante riguarda l’utilizzo del Wireless ADB Debugging, una funzionalità pensata per facilitare il lavoro degli sviluppatori durante il debug delle applicazioni Android. In condizioni normali questa modalità permette di collegare il computer allo smartphone tramite rete locale senza utilizzare un cavo USB. RedHook trasforma invece questa caratteristica in uno strumento di escalation dei privilegi. Attraverso il servizio di accessibilità, il malware simula le azioni dell’utente e abilita automaticamente le Opzioni sviluppatore, attiva il debug wireless, completa la procedura di associazione e recupera il codice necessario per instaurare la connessione ADB.

image 323
Esempio di ingegneria sociale. Dialogo riportato tra vittima e truffatori su Zalo (fonte: facebook.com tradotto dal vietnamita).

Una volta stabilito il collegamento, incorpora un client ADB che comunica direttamente con il demone presente sul dispositivo tramite l’interfaccia locale 127.0.0.1, ottenendo privilegi di shell con UID 2000 senza ricorrere al root tradizionale. Questa tecnica consente agli operatori del malware di accedere a funzioni normalmente riservate agli sviluppatori e rappresenta uno degli elementi più innovativi osservati nell’evoluzione recente dei trojan Android.

Shizuku amplia il controllo sul sistema operativo

Dopo aver ottenuto l’accesso tramite ADB, RedHook sfrutta il framework Shizuku, un progetto legittimo utilizzato dagli sviluppatori per consentire alle applicazioni di accedere ad API di sistema normalmente protette. Il malware installa un server privilegiato identificato come libmx.so, che opera sfruttando i diritti concessi da Shizuku. In questo modo diventa possibile eseguire comandi di shell, concedere automaticamente permessi runtime alle applicazioni, modificare impostazioni di sistema e acquisire eventi di input come tocchi, swipe e gesture. L’utilizzo di uno strumento perfettamente legittimo rende più complesso distinguere le attività malevole da quelle consentite dal sistema operativo. RedHook sfrutta quindi meccanismi previsti da Android anziché vulnerabilità o exploit kernel, riducendo la necessità di tecniche invasive e aumentando la compatibilità con un numero più elevato di dispositivi. La scelta dimostra come gli autori del malware preferiscano oggi abusare di funzionalità ufficiali piuttosto che sviluppare exploit complessi e più facilmente rilevabili.

Cinquantatré comandi trasformano il RAT in una piattaforma completa

L’evoluzione tecnica di RedHook non si limita all’acquisizione dei privilegi. Gli analisti hanno identificato 53 comandi differenti che il server di comando e controllo può inviare al dispositivo compromesso. Le funzionalità comprendono la raccolta delle informazioni hardware e software del terminale, la lettura dell’elenco delle applicazioni installate, il recupero dei contatti, degli SMS e di altri dati personali, oltre alla possibilità di simulare gesture, click e swipe attraverso il servizio di accessibilità. Il malware è inoltre in grado di creare overlay sopra le applicazioni, aprire automaticamente il pannello delle notifiche, scaricare e installare nuovi APK, disinstallare applicazioni, riavviare il dispositivo, bloccarlo o sbloccarlo, acquisire screenshot e controllare la fotocamera. Queste capacità trasformano RedHook in una piattaforma di amministrazione remota estremamente versatile, capace di adattarsi sia a operazioni di frode bancaria sia a campagne di sorveglianza o raccolta di informazioni sensibili.

Lo streaming dello schermo aggira MediaProjection

Una delle funzionalità più sofisticate introdotte nell’aggiornamento riguarda la trasmissione in tempo reale dello schermo del dispositivo. Invece di utilizzare la comune API MediaProjection, che richiede un’autorizzazione esplicita dell’utente e mostra un indicatore visibile durante la registrazione, RedHook sfrutta il server privilegiato ottenuto tramite Shizuku per realizzare uno streaming parallelo attraverso il protocollo RTMP. Questo approccio riduce la visibilità dell’attività e permette agli operatori di osservare direttamente ciò che accade sul display, comprese operazioni bancarie, autenticazioni multifattore e utilizzo di applicazioni di pagamento. Le funzionalità già presenti nelle versioni precedenti, come il keylogging, la raccolta della struttura dei nodi dell’interfaccia grafica e il furto delle credenziali dello screen lock, vengono mantenute e integrate in un ecosistema molto più potente, capace di controllare quasi ogni aspetto dell’interazione dell’utente con il dispositivo.

La persistenza combina più tecniche contemporaneamente

Per ridurre le probabilità di essere terminato dal sistema operativo, RedHook implementa un articolato insieme di tecniche di persistenza. Il malware utilizza una attività one-pixel, espediente noto nell’ecosistema Android per mantenere elevata la priorità del processo in foreground, abbina una MediaSession che riproduce audio silenzioso e mantiene attivo un WakeLock permanente all’interno del servizio principale.

image 324
RedHook: il nuovo malware Android che prende il controllo totale del telefono senza bisogno del root 8

A queste tecniche si aggiungono il binding cross-process, un allarme periodico per riattivare i servizi eventualmente terminati, un ricevitore BOOT_COMPLETED che garantisce l’avvio automatico dopo il riavvio del dispositivo e perfino la modifica dello OOM Score fino al valore -1000, riducendo drasticamente la probabilità che Android interrompa il processo per liberare memoria. L’uso contemporaneo di numerosi meccanismi rende il malware particolarmente resiliente anche in presenza delle politiche di risparmio energetico introdotte nelle versioni più recenti del sistema operativo.

L’ingegneria sociale resta il principale vettore di infezione

image 325
Esempio di un repository GitHub utilizzato impropriamente da malintenzionati per ospitare APK dannosi (ora inattivo).

Nonostante la sofisticazione tecnica, RedHook continua a fare affidamento soprattutto sull’ingegneria sociale per ottenere l’accesso iniziale. Gli operatori contattano direttamente le vittime attraverso telefonate, SMS o piattaforme di messaggistica, impersonando enti governativi, istituti finanziari o operatori dell’assistenza tecnica.

image 326

Esempio di interfaccia utente di phishing RedHook che impersona l’identità di un’autorità governativa vietnamita (con traduzione in inglese).

Gli utenti vengono invitati a scaricare applicazioni distribuite tramite siti web che imitano il Google Play Store oppure attraverso portali apparentemente ufficiali. Per aumentare la credibilità, i file APK vengono ospitati su servizi normalmente considerati affidabili, come bucket AWS S3 o repository GitHub. Le pagine di phishing riproducono l’aspetto di servizi bancari, piattaforme governative o procedure amministrative e guidano passo dopo passo l’utente nell’attivazione del servizio di accessibilità, presentato come indispensabile per il corretto funzionamento dell’applicazione. Questo approccio riduce la necessità di sfruttare vulnerabilità del sistema operativo, facendo leva invece sulla fiducia dell’utente.

Vietnam e Indonesia restano gli obiettivi principali

Le campagne analizzate da Group-IB continuano a concentrarsi prevalentemente sul Vietnam e sull’Indonesia, pur mostrando segnali di espansione verso altri Paesi del Sud-est asiatico. La scelta non appare casuale. In queste aree l’utilizzo di applicazioni distribuite al di fuori degli store ufficiali è relativamente più diffuso e gli utenti sono spesso esposti a campagne di phishing che sfruttano servizi governativi digitali, pagamenti elettronici e piattaforme finanziarie locali. L’elevata diffusione di smartphone Android e la presenza di numerosi ecosistemi applicativi regionali rappresentano un contesto favorevole per operazioni di questo tipo. La possibilità di impersonare enti pubblici o istituzioni locali aumenta ulteriormente il tasso di successo delle campagne, soprattutto quando le vittime vengono assistite telefonicamente durante l’installazione del malware e l’attivazione delle autorizzazioni richieste.

L’abuso di strumenti legittimi complica il rilevamento

image 327
RedHook: il nuovo malware Android che prende il controllo totale del telefono senza bisogno del root 9

Uno degli aspetti più significativi emersi dall’analisi riguarda il progressivo spostamento degli autori di malware verso l’abuso di componenti perfettamente legittimi del sistema operativo. ADB Wireless e Shizuku sono strumenti progettati per sviluppatori e utenti avanzati, ma il loro utilizzo in un contesto malevolo riduce la dipendenza da exploit kernel o vulnerabilità zero-day. Questo rende più difficile distinguere un’attività dannosa da un utilizzo autorizzato delle funzionalità di sistema. Le soluzioni di sicurezza devono quindi concentrarsi maggiormente sul comportamento delle applicazioni, monitorando richieste anomale di accessibilità, attivazione delle opzioni sviluppatore, avvio del debug wireless e connessioni locali verso il demone ADB. L’evoluzione osservata in RedHook conferma una tendenza ormai consolidata: i malware Android moderni preferiscono sfruttare funzionalità previste dal sistema operativo piuttosto che cercare continuamente nuovi exploit.

Gli indicatori di compromissione facilitano il rilevamento

L’analisi ha individuato diversi Indicatori di Compromissione (IOC) utili per identificare infezioni attive. Tra questi figura l’hash SHA-256 453333bffdd1850ea2e0647f7c805530b578919978a01b1e2be52d6eb2add946, oltre ai domini di comando e controllo api.3n7wj.com, skt.3n7wj.com e sktv.3n7wj.com. Il traffico verso tali endpoint, associato alla presenza di processi persistenti, file insoliti o attività riconducibili a Shizuku e ADB Wireless, può rappresentare un forte indicatore di compromissione. Gli amministratori possono inoltre monitorare l’abilitazione improvvisa delle Opzioni sviluppatore, del debug wireless e del servizio di accessibilità su dispositivi che normalmente non richiedono tali funzionalità. Questi eventi, soprattutto se accompagnati da download di APK provenienti da fonti esterne, costituiscono segnali di rischio elevato.

RedHook conferma la nuova direzione del malware Android

L’evoluzione di RedHook dimostra come il malware Android stia diventando sempre meno dipendente dai privilegi di root e sempre più orientato allo sfruttamento creativo delle funzionalità offerte dal sistema operativo. L’integrazione di ADB Wireless, Shizuku, streaming avanzato dello schermo e numerose tecniche di persistenza trasforma il trojan in una piattaforma estremamente flessibile, capace di adattarsi a campagne di frode finanziaria, spionaggio e furto di dati. Per gli utenti la principale difesa continua a essere il rifiuto di installare APK provenienti da fonti non ufficiali e la massima cautela davanti a richieste di attivazione del servizio di accessibilità o delle Opzioni sviluppatore. Per le organizzazioni, invece, diventa sempre più importante monitorare il comportamento dei dispositivi mobili e identificare rapidamente l’abuso di strumenti legittimi che, se utilizzati in modo improprio, possono offrire agli aggressori privilegi quasi equivalenti a quelli di un dispositivo rooted.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto