RedHook, il malware Android che usa il debug wireless per prendere il controllo del dispositivo

Articolo Precedente

precedente
Articolo Successivo

successivo

Redazione Scienza e Tecnologia Redazione Scienza e Tecnologia   -   Una nuova, insidiosa variante del malware RedHook, già noto agli addetti ai lavori per le sue capacità di spionaggio, sta mettendo in allarme i ricercatori di sicurezza informatica. A lanciare l'allarme è stata Group-IB, che ha individuato un significativo salto di qualità nelle capacità offensive del codice maligno, il quale ora è in grado di abusare di una funzionalità legittima di Android, il debug wireless (Wireless ADB), per ottenere un controllo quasi totale sul dispositivo della vittima, senza necessità di eseguire il root.

Questa evoluzione segna un cambio di paradigma rispetto alle minacce tradizionali, che in genere si limitavano a rubare credenziali o a monitorare le attività dell'utente.

L'evoluzione di una minaccia: da trojan bancario a RAT totale

Il malware RedHook non è una novità assoluta: era già stato individuato dalla società Cyble nel luglio del 2025, quando si presentava come un tipico trojan bancario progettato per sottrarre dati sensibili e credenziali di accesso agli istituti di credito, con una diffusione iniziale concentrata in Vietnam.

La versione attuale, tuttavia, rappresenta un'evoluzione sostanziale: non è più un semplice spyware, ma un vero e proprio RAT (Remote Access Trojan), uno strumento che consente a un malintenzionato di prendere il comando del telefono da remoto come se lo avesse fisicamente tra le mani. Secondo il rapporto di Group-IB, pubblicato il 9 luglio 2026, la portata dell'attacco si è ampliata, colpendo ora anche utenti in Indonesia, con il rischio concreto di un'espansione ulteriore ad altri Paesi.

L'inganno: come funziona l'attacco di RedHook

Nonostante la sofisticazione tecnica, il vettore d'attacco iniziale di RedHook rimane tradizionale e si basa sull'ingegneria sociale. Gli aggressori, impersonando funzionari governativi o operatori di assistenza bancaria, contattano le vittime tramite chiamate o messaggi, spingendole a installare un'applicazione dannosa scaricata da un sito web che imita fedelmente il Google Play Store. È a questo punto che la minaccia mostra il suo vero volto.

Una volta installato, il malware richiede all'utente l'attivazione dei servizi di accessibilità (Accessibility), una richiesta che spesso viene giustificata come necessaria per il funzionamento dell'app stessa. Ottenuto questo permesso, RedHook è in grado di agire in autonomia: naviga silenziosamente tra le impostazioni del sistema, attiva le Opzioni sviluppatore e abilita il debug wireless. Sfruttando l'interfaccia di loopback (127.0.0.

1), il malware si auto-paira al servizio ADB del telefono, leggendo il codice di accoppiamento direttamente dallo schermo, senza che la vittima se ne accorga. In questo modo, ottiene privilegi a livello di shell (UID 2000), un grado di accesso molto più elevato di quello di una comune applicazione, che gli consente di eseguire comandi privilegiati.

Un arsenale di controllo e una sopravvivenza ostinata

Una volta ottenuto il controllo, il ventaglio di azioni a disposizione degli attaccanti è vastissimo. Secondo le analisi, RedHook supporta 53 comandi differenti, che vanno dalla trasmissione in diretta dello schermo, alla registrazione dei tasti premuti, fino all'installazione o alla rimozione silenziosa di altre applicazioni, passando per la simulazione di tocchi e gesture.

Per evitare di essere scoperto e rimosso, il malware impiega una serie di astuti meccanismi di persistenza, che i ricercatori di Group-IB hanno definito "meccanismo di resurrezione tra due servizi". In pratica, due servizi separati si monitorano a vicenda e, se uno viene terminato, l'altro lo riavvia immediatamente.

A questo si aggiungono altri stratagemmi per non essere ucciso dal sistema, come la riproduzione di un audio silenzioso in background per aumentare la priorità del processo, o la modifica del valore di gestione della memoria interna (oom_score_adj) al livello più basso possibile per evitare la chiusura automatica in caso di scarsa memoria.

Come difendersi: l'importanza della prevenzione

La pericolosità di RedHook risiede proprio nell'uso di strumenti di sviluppo legittimi, il che rende difficile per i tradizionali antivirus distinguere tra un'attività malevola e una operazione di sistema autorizzata. La protezione, quindi, passa inevitabilmente dalla prevenzione e dalla consapevolezza dell'utente. La raccomandazione principale, sottolineata da tutti gli esperti, è quella di installare applicazioni esclusivamente dal Google Play Store ufficiale, mantenendo attivo il servizio Google Play Protect.

È fondamentale prestare la massima attenzione quando un'applicazione richiede i permessi di accessibilità, soprattutto se proviene da fonti sconosciute, e verificare periodicamente che le Opzioni sviluppatore e il debug wireless non siano stati attivati all'insaputa dell'utente.

Puoi condividere questo articolo o riprenderne i contenuti, anche parzialmente, citando la fonte con link attivo a informazione.news, il portale online di notizie e approfondimenti.