I ricercatori di Group-ID hanno individuato nuova versione aggiornata di RedHook, un noto RAT (Remote Access Trojan) per Android, che sfrutta la funzionalità ADB Wireless Debugging per ottenere privilegi elevati ed eseguire diverse azioni sul dispositivo, incluse quelle tipiche di uno spyware. Gli utenti possono evitare il pericolo seguendo semplici consigli.
Attenzione ai file APK da fonti sconosciute
RedHook viene principalmente distribuito tramite tramite app scaricate su siti fasulli (file APK). Le ignare vittime vengono contattate tramite telefonate, messaggi o email da un presunto supporto tecnico o presunti dipendenti di note aziende. All’avvio dell’app viene chiesto di inserire le credenziali dell’account Google e altre informazioni personali.
Per attivare tutte le funzionalità sono necessari i permessi di accessibilità che l’utente concede inavvertitamente durante la configurazione iniziale. Il malware può inoltre sfruttare ADB Wireless Debugging. ADB (Android Debug Bridge) consente di controllare lo smartphone attraverso comandi inviati dal computer. La versione wireless, disponibile da Android 11, non richiede il collegamento tramite cavo.
Utilizzando i suddetti permessi di accessibilità, RedHook esegue automaticamente tutti i passi per attivare il wireless debugging nelle impostazioni. Il codice di pairing mostrato sullo schermo viene quindi usato per collegare il dispositivo al client ADB integrato nel malware. Successivamente ottiene privilegi di shell e installa un framework basato su Shizuku per eseguire comandi di shell, ottenere autorizzazioni aggiuntive, modificare le impostazioni protette, installare o rimuovere applicazioni in modo silenzioso ed eseguire varie operazioni senza visualizzare finestre di dialogo.
I comandi attualmente funzionanti sono 53, tra cui quelli che raccolgono informazioni sul dispositivo, l’elenco delle app installate, SMS e contatti. RedHook può anche catturare screenshot, registrare il contenuto dello schermo, simulare gesture, bloccare/sbloccare/riavviare lo smartphone, attivare la fotocamera e mostrare schermate fasulle (overlay).
Gli utenti non devono mai cliccare su link presenti in email o messaggi. Devono scaricare le app solo dal Google Play Store e non da terze parti sconosciute. In ogni caso è meglio verificare se i permessi servono effettivamente per usare le app.