Minden korábbinál veszélyesebb változattal tért vissza a RedHook nevű androidos kártevő - számolt be róla a 24.hu. A távoli hozzáférést biztosító trójai egy eredetileg fejlesztőknek szánt funkció kihasználásával különösen magas jogosultságot szerezhet a fertőzött készüléken, majd megfigyelheti a felhasználót, ellophatja a banki adatait és akár alkalmazásokat is telepíthet a tudta nélkül. A RedHook nem egy biztonsági résen keresztül kerül automatikusan a telefonokra. A támadók először telefonhívásban vagy valamilyen üzenetküldő alkalmazáson keresztül lépnek kapcsolatba az áldozattal, miközben egy bank, állami szerv vagy más megbízható szervezet munkatársának adják ki magukat. Ezután egy hamis weboldalra irányítják, amely gyakran a Google Play Áruház felületét utánozza. Az oldalról letöltött APK-fájl valamilyen hivatalos vagy pénzügyi alkalmazásnak álcázza magát. A telepítés után hozzáférést kér az Android kisegítő lehetőségeihez, azt állítva, hogy erre az alkalmazás minden funkciójának használatához van szükség. Amennyiben a felhasználó megadja az engedélyt, a RedHook képes lehet önállóan végiglépkedni a készülék beállításain.
A kártevő bekapcsolhatja a fejlesztői lehetőségeket és a vezeték nélküli hibakeresést, majd leolvashatja a telefonon megjelenő párosítási kódot. Ezzel saját magát csatlakoztatja a készülék Android Debug Bridge, röviden ADB szolgáltatásához. Az ADB-t eredetileg fejlesztésre, tesztelésre és hibakeresésre készítették. Megfelelő hozzáféréssel parancsokat lehet rajta keresztül futtatni a telefonon, alkalmazásokat telepíteni vagy eltávolítani, valamint módosítani bizonyos rendszerbeállításokat. A vezeték nélküli változat ugyanezt USB-kábel nélkül teszi lehetővé. A RedHook ezzel úgynevezett shellszintű jogosultságot szerezhet. Ez nem azonos a teljes roothozzáféréssel, de lényegesen nagyobb szabadságot biztosít annál, mint amellyel egy hagyományos androidos alkalmazás rendelkezik. A támadáshoz a készüléket sem kell előzetesen rootolni.
A trójai a Shizuku nevű, egyébként legitim androidos eszköz kódját is felhasználja. A Shizukut haladó felhasználók és fejlesztők rendszerfunkciók elérésére használják, a RedHook azonban arra építi be, hogy védett Android-funkciókat érjen el, további engedélyeket adjon saját magának és a megszokott figyelmeztető ablakok nélkül hajtson végre műveleteket. A Group-IB által vizsgált új változat már 53 különböző, távolról kiadható parancsot támogat. A támadók élőben nézhetik a telefon képernyőjét, képernyőképeket készíthetnek, rögzíthetik a billentyűleütéseket, és érintéseket, húzásokat vagy más mozdulatokat utánozhatnak. A kártevő hozzáférhet az SMS-ekhez, a névjegyekhez és a telepített alkalmazások listájához, aktiválhatja a kamerát, lezárhatja vagy feloldhatja a készüléket, illetve újra is indíthatja azt. Hamis bejelentkezési és ellenőrző ablakokat is megjeleníthet, amelyekkel banki azonosítókat, jelszavakat és más érzékeny adatokat szerezhet meg.
A képességek együtt lehetővé tehetik, hogy a támadók az áldozat nevében elindítsák a banki alkalmazást, megszerezzék a belépési adatokat, elolvassák az SMS-ben érkező megerősítő kódot, majd távolról végrehajtsanak egy átutalást. A kutatók ugyanakkor nem közöltek adatot arról, hogy hány készülék fertőződött meg, vagy mekkora összeget lophattak el a kártevő segítségével. A RedHook első változatát 2025-ben azonosította a Cyble kiberbiztonsági vállalat. Akkor elsősorban vietnámi felhasználókat céloztak meg bankok és állami intézmények oldalait utánzó adathalász felületekkel. A Group-IB által észlelt frissebb kampányok már Indonéziára is kiterjedtek, ami a támadások délkelet-ázsiai terjeszkedésére utal. Magyarországi fertőzésekről egyelőre nem érkezett információ.
Az új változatot az eltávolítás megnehezítésére is felkészítették. Folyamatosan ébren tarthatja a telefon processzorát, hangtalan hangfájl lejátszásával növelheti saját folyamatának fontosságát, és két olyan szolgáltatást futtathat, amelyek leállítás után újraindítják egymást. A rendszeres időzítők és az automatikus bekapcsolás után történő indulás miatt a kártevő hosszú ideig a készüléken maradhat. A fertőzési folyamat legfontosabb eleme továbbra is a megtévesztés. A RedHook telepítéséhez a felhasználónak külső forrásból származó APK-fájlt kell letöltenie, majd különösen érzékeny kisegítő lehetőségi engedélyeket kell biztosítania számára. A Google Play Áruházból telepített alkalmazásokról a mostani kampányban nem számoltak be.