RedHook è il malware Android che non vuole andarsene dal tuo smartphone

Un nuovo malware per Android sta facendo preoccupare i ricercatori di sicurezza: si chiama RedHook, è classificato come RAT (Remote Access Trojan) e, una volta installato, consente agli aggressori di prendere il controllo completo del dispositivo da remoto. A scoprirlo e analizzarlo è stata Group-IB, società specializzata in cybersicurezza, che ha lanciato l'allarme negli ultimi giorni.
La caratteristica che rende RedHook particolarmente insidioso non è solo quello che fa, ma come riesce a restare attivo e a nascondersi. Il malware in realtà non è propriamente nuovo, ma è in rapida evoluzione e ogni nuova versione introduce meccanismi sempre più sofisticati per evitare di essere rilevato e rimosso.
L'infezione parte, come spesso accade, da tecniche di social engineering: una email, un SMS, una telefonata o un messaggio sui social da parte di finti operatori di assistenza tecnica o rappresentanti di aziende note. L'obiettivo è convincere la vittima a visitare un sito fraudolento e scaricare un file APK malevolo. Una volta installata l'app, viene richiesto di concedere i permessi di Accessibilità, con la scusa di garantirne il corretto funzionamento. In realtà, quei permessi aprono la porta a tutto il resto.
Con i permessi di Accessibilità ottenuti, RedHook attiva le Opzioni sviluppatore e poi ADB Wireless, ovvero il protocollo di debug normalmente usato dagli sviluppatori per comunicare con il dispositivo via rete. A quel punto, gli aggressori possono monitorare tutto il testo inserito dalla vittima, visualizzare il contenuto dello schermo, aggirare i blocchi di sicurezza e controllare da remoto numerose funzioni dello smartphone. È un accesso di livello quasi totale, ottenuto sfruttando una funzione legittima e integrata in Android.
Quello che distingue le versioni più recenti di RedHook è la capacità di mantenersi attivo anche quando il sistema cerca di chiuderlo. Tra le tecniche usate c'è il WakeLock, che impedisce al sistema di sospendere il processo. Il malware può anche tenere acceso il display attraverso una finestra invisibile da un solo pixel, inducendo Android a considerarlo un processo essenziale. Un'altra strategia prevede l'uso di due processi che si riattivano a vicenda: se uno viene disattivato, l'altro lo riavvia immediatamente.
La buona notizia, almeno per ora, è che le campagne che sfruttano RedHook sono diffuse principalmente in Asia, partendo dal Vietnam e poi espandendosi in Indonesia. Resta però da capire se il malware riuscirà ad arrivare in Occidente prima che la minaccia venga del tutto debellata, e la velocità con cui si sta evolvendo non lascia molto spazio all'ottimismo.
L'articolo RedHook è il malware Android che non vuole andarsene dal tuo smartphone sembra essere il primo su Smartworld.
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Wow
0
Triste
0
Furioso
0
Commenti (0)