RedHook è il nome di un trojan bancario per Android che sta dando parecchi grattacapi agli esperti di sicurezza, e la cosa preoccupante è che diventa ogni giorno più difficile da bloccare. I ricercatori della società di cybersicurezza Group-IB hanno lanciato l’allarme nelle scorse ore, spiegando che questo malware appartiene alla categoria dei RAT, ovvero Remote Access Trojan. In parole povere, una volta dentro il dispositivo può prenderne il controllo completo da remoto e combinare parecchi danni.
Il meccanismo con cui agisce ha qualcosa di subdolo. Sfrutta infatti ADB Wireless, una delle funzionalità di debug e risoluzione dei problemi più conosciute e apprezzate dell’ecosistema Android. Non un difetto nascosto, quindi, ma uno strumento legittimo piegato a scopi malevoli. E la versione attuale è ancora in piena evoluzione, con sistemi sempre più raffinati per non farsi individuare e, soprattutto, per non farsi rimuovere.
Come avviene l’infezione
Nella maggior parte dei casi tutto parte dal cosiddetto social engineering. Niente di troppo sofisticato, almeno all’inizio. La classica email, un SMS, una telefonata oppure un messaggio sui social che arriva da finti operatori di assistenza tecnica o presunti rappresentanti di aziende affidabili e ben note. Il gioco è sempre lo stesso, convincere la vittima a visitare un sito fraudolento e scaricare un file APK dannoso.
Una volta installata l’app, ecco la richiesta che dovrebbe far scattare qualche campanello d’allarme. All’utente viene chiesto di concedere i permessi di Accessibilità, con la scusa che servono a garantire il corretto funzionamento del software. In realtà è proprio questo il passaggio decisivo. Con quei permessi in mano, RedHook si muove con estrema libertà tra le pieghe del sistema operativo, senza più troppi ostacoli davanti.
Cosa può fare una volta dentro
Da qui in poi la situazione peggiora in fretta. Il malware attiva le Opzioni sviluppatore e subito dopo ADB Wireless. A quel punto il livello di accesso al dispositivo diventa davvero avanzato. Gli aggressori possono monitorare tutto il testo digitato dalla vittima, quindi anche password e codici, visualizzare in tempo reale il contenuto dello schermo, aggirare i blocchi di sicurezza e comandare da remoto un buon numero di funzioni dello smartphone.
C’è poi un dettaglio tecnico che rende la nuova versione ancora più insidiosa. RedHook introduce meccanismi particolarmente aggressivi per restare sempre attivo. Uno di questi è il WakeLock, una funzione che impedisce al sistema di sospendere il processo. Tradotto, il trojan continua a lavorare in sottofondo senza mai fermarsi, anche quando il telefono sembra in pausa. Ed è proprio questa capacità di persistenza a preoccupare gli analisti, perché rende molto più complicato tanto il rilevamento quanto la rimozione.