O vírus RedHook para dispositivos Android passou por uma atualização recente que o deixou ainda mais perigoso. Pesquisadores da Group-IB detalharam o funcionamento desta nova versão, capaz de hackear os aparelhos por meio da Depuração do Android. O objetivo é roubar senhas e dados bancários dos usuários.
Esse RedHook é um Cavalo de Troia de Acesso Remoto (RAT) já bem conhecido no mundo da cibersegurança. Por ser um RAT, esse é um software malicioso que, uma vez instalado, permite que um criminoso controle o seu smartphone como se o tivesse em mãos em qualquer lugar.
smart_display
Nossos vídeos em destaque
Os cibercriminosos entram em contato com a vítima por aplicativos de mensagens, ligações telefônicas, fingindo ser representantes de instituições financeiras ou fiscalizadores do governo. A mensagem sempre tem um tom de urgência para o usuário resolver algo e os atacantes solicitando o download de um app fora da Play Store.
Para enganar as vítimas e os sistemas de segurança, os criminosos criam páginas falsas que imitam perfeitamente a Google Play Store. Até mesmo os arquivos maliciosos que contém o vírus estão hospedados em plataformas legítimas, como o GitHub e a Amazon. Ao realizar o download, o golpe entra na próxima fase: o roubo.
Como os cibercriminosos têm acesso ao RedHook no aparelho, as possibilidades são imensas. Esses agentes podem gravar a tela da vítima sem criar alarde e assistir quando o usuário digita as credenciais bancárias, por exemplo. Há a interceptação de SMS, instalação de outros apps arbitrariamente e até a captura de fotos com a câmera frontal.
Burlando a Depuração
Até aqui, o RedHook se mostra como apenas mais um Cavalo de Troia entre tantos outros disponíveis. Porém, esse malware usa caminhos pouco convencionais para atingir o seu objetivo: a Depuração Sem Fio do Android. Antes disso, ele ativa algumas funcionalidades para controlar o aparelho.
Quando a vítima baixa e instala o RedHook ele imediatamente solicita que o usuário ative a permissão de Acessibilidade do Android. Essa ferramenta foi pensada para pessoas com deficiências, mas o cibercrime descobriu que pode usar isso para “passear” pelo celular sem que o usuário perceba. Literalmente, o malware passa a usar o aparelho.
)
De maneira invisível, o vírus ativa o Modo Desenvolvedor nas configurações e liga a ferramenta Depuração Sem Fio. Esse é um recurso que permite desenvolvedores testarem seus apps ao ligarem o celular ao computador por meio de um cabo. Mas o RedHook não precisa disso.
O vírus carrega um tipo de máquina virtual que simula um PC, fazendo com que o ADB se conecte a ele como se fosse um computador real. Com isso, o RedHook se apropria de um código aberto chamado Shizuku e chega ao nível de poder de Privilégio Shell. Em outras palavras, ao conseguir esse Shell, ele se torna um chefão do sistema e um grande aliado dos criminosos.
Os pesquisadores descobriram que esse malware cria uma janela de 1 pixel na tela e reproduz um som silencioso. Como o Android fecha apps em segundo plano para economizar energia, o RedHook se torna imune a isso, já que tecnicamente está rodando em primeiro plano.
Como se proteger do RedHook?
Casos como o do RedHook demonstram como atitudes simples podem invalidar um golpe complexo, como esse. Em primeira instância, sempre que alguém ligar ou enviar mensagem solicitando o download de softwares, principalmente fora da loja oficial (Play Store), é um grande sinal de golpe. Desconfie e não abra o link solicitado.
Aliás, a menos que você tenha noção do que está fazendo, realizar o download de aplicativos fora das lojas oficiais quase sempre culmina na aquisição de malwares. Também sempre desconfie quando um app solicitar a permissão para acessar recursos de acessibilidade.
Por falar em golpes via mensagens telefônicas, um novo grupo finge ser o chefe de algumas companhias para roubar dados de empresas. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
