App bancarie android sotto attacco hacker
Il RAT Android che sfrutta ADB Wireless si fa sempre più invisibile. I ricercatori della società di cybersicurezza Group-IB hanno lanciato l'allarme su una minaccia in rapida evoluzione per i dispositivi Android: RedHook. Classificato come Remote Access Trojan (RAT), questo malware punta al controllo completo del dispositivo da remoto, sfruttando strumenti di sistema legittimi per aggirare le difese e rendere estremamente difficile la sua rimozione.
Il primo punto di accesso: l'inganno e i permessi
L'infezione iniziale non avviene tramite falle di sicurezza complesse, ma attraverso classiche tecniche di social engineering. I cybercriminali utilizzano email, SMS, telefonate o messaggi social fingendosi operatori di assistenza o rappresentanti di aziende note.
L'obiettivo è convincere la vittima a visitare un sito fraudolento e scaricare un file APK dannoso. Una volta installata l'applicazione, viene richiesto l'accesso ai permessi di Accessibilità con il pretesto di garantire il corretto funzionamento del software. In realtà, questo passaggio consente a RedHook di muoversi senza ostacoli all'interno del sistema operativo.
Il controllo remoto tramite ADB Wireless
Ottenuti i permessi di base, RedHook compie il passo successivo: abilita le Opzioni sviluppatore e attiva la funzionalità ADB Wireless (Android Debug Bridge). Da questo momento, gli aggressori ottengono un accesso avanzato che consente loro di:
- Monitorare in tempo reale il testo digitato sulla tastiera (keylogging). - Visualizzare e catturare il contenuto dello schermo. - Aggirare i blocchi di sicurezza del dispositivo. - Controllare da remoto numerose funzioni dello smartphone.
Tecniche di persistenza aggressive
Ciò che rende l'ultima variante di RedHook particolarmente insidiosa sono le strategie utilizzate per rimanere attivo ed evitare l'arresto da parte del sistema operativo Android:
- WakeLock: Una funzione che impedisce ad Android di mandare in sospensione i processi del malware, mantenendoli costantemente attivi. - La finestra da un pixel: Il malware proietta sullo schermo una finestra invisibile di appena $1 times 1$ pixel. Questo stratagemma induce il sistema operativo a considerare l'applicazione come un processo attivo in primo piano, impedendone la chiusura automatica per il risparmio energetico. - Dual-Process (Processi specchio): RedHook utilizza due processi distinti che si monitorano a vicenda. Se l'utente o un sistema di sicurezza riesce a terminarne uno, l'altro lo riavvia immediatamente. Diffusione e prospettive future
Attualmente, le campagne di attacco che utilizzano RedHook sono concentrate principalmente nel Sud-est asiatico, con i primi casi rilevati in Vietnam e una successiva espansione in Indonesia. Resta da monitorare l'evoluzione del malware per capire se e quando questa minaccia inizierà a diffondersi verso i paesi occidentali, prima che vengano implementate contromisure globali a livello di sicurezza Android.
“Questo articolo ha beneficiato dell’assistenza di Gemini, un modello linguistico AI”











