RedHook 2.0: il nuovo malware Android può svuotare il conto senza farsi scoprire

RedHook 2.0 sfrutta Wireless ADB e i permessi di Accessibilità per controllare gli smartphone Android e rubare denaro dai conti bancari.

Una nuova variante del malware RedHook sta attirando l’attenzione dei ricercatori di sicurezza per la sua capacità di ottenere un controllo quasi completo degli smartphone Android e facilitare il furto di denaro dai conti bancari delle vittime. Secondo un’analisi pubblicata dalla società di cybersecurity Group-IB, la minaccia introduce tecniche molto più sofisticate rispetto alla versione individuata nel 2025, rendendo più difficile sia il rilevamento sia la rimozione del software malevolo.

La campagna è stata osservata inizialmente in Vietnam, ma gli esperti hanno già rilevato segnali di espansione verso altri Paesi del Sud-est asiatico, in particolare Indonesia. Sebbene non risultino al momento campagne mirate all’Europa, la modalità di diffusione utilizzata dagli attaccanti potrebbe essere facilmente adattata anche ad altri mercati.

Come arriva il malware sullo smartphone

A differenza di molte minacce che sfruttano vulnerabilità del sistema operativo, RedHook punta soprattutto sull’ingegneria sociale.

Gli aggressori contattano la vittima tramite SMS, e-mail, telefonate oppure piattaforme di messaggistica e social network, fingendosi operatori bancari, corrieri, enti governativi o addetti dell’assistenza clienti.

L’obiettivo è convincere l’utente a visitare un sito Web contraffatto che riproduce fedelmente la grafica del Google Play Store o di un servizio conosciuto.

Da qui viene scaricato un file APK, cioè un’applicazione Android installata manualmente e non distribuita attraverso lo store ufficiale di Google.

È proprio questa fase a rappresentare il primo campanello d’allarme: il malware non viene infatti installato dal Play Store, ma richiede all’utente di autorizzare l’installazione da origini sconosciute.

I permessi di Accessibilità diventano la chiave dell’attacco

Una volta installata, l’app malevola chiede l’autorizzazione ai Servizi di Accessibilità, sostenendo che sia necessaria per il corretto funzionamento dell’applicazione.

In realtà questi permessi consentono di osservare ciò che compare sullo schermo, simulare tocchi, premere pulsanti e interagire automaticamente con l’interfaccia di Android.

Negli ultimi anni numerosi malware bancari hanno sfruttato proprio questa funzionalità per rubare credenziali, intercettare codici OTP e autorizzare bonifici senza che la vittima se ne accorga.

Cos’è Wireless ADB e perché viene sfruttato

L’aspetto più interessante della nuova variante riguarda l’utilizzo di Wireless ADB (Android Debug Bridge).

ADB è uno strumento ufficiale di Google utilizzato dagli sviluppatori per testare le applicazioni e amministrare i dispositivi Android.

Normalmente richiede l’attivazione delle Opzioni sviluppatore e viene impiegato attraverso un computer collegato via USB oppure tramite rete Wi-Fi.

RedHook sfrutta i permessi di Accessibilità per navigare automaticamente nei menu di Android, attivare Wireless ADB e ottenere un accesso privilegiato alla shell del sistema (UID 2000), senza richiedere i permessi di root.

In questo modo gli aggressori possono controllare lo smartphone da remoto con privilegi molto superiori rispetto a quelli normalmente concessi a un’applicazione.

Cosa possono fare gli attaccanti

Una volta completata l’infezione, il malware acquisisce funzionalità tipiche di un Remote Access Trojan (RAT).

Gli operatori possono:

  • visualizzare in tempo reale lo schermo del telefono;
  • intercettare ciò che viene digitato;
  • sbloccare il dispositivo;
  • simulare tocchi e gesti;
  • aprire applicazioni bancarie;
  • autorizzare operazioni finanziarie.

Di fatto il cybercriminale può utilizzare lo smartphone come se lo avesse fisicamente tra le mani, superando molte delle protezioni introdotte dalle banche contro il phishing tradizionale.

Perché RedHook è così difficile da eliminare

Rispetto alla variante individuata nel 2025, la nuova versione introduce diversi meccanismi pensati per garantire la persistenza.

Secondo Group-IB, il malware utilizza un WakeLock, una funzione di Android che impedisce al dispositivo di sospendere alcuni processi, mantenendo costantemente attiva l’applicazione malevola.

Inoltre crea una minuscola finestra trasparente di un solo pixel, praticamente invisibile all’utente, inducendo Android a considerare il processo ancora in primo piano e riducendo la probabilità che venga terminato automaticamente dal sistema.

La tecnica più sofisticata è però quella definita dai ricercatori “cross-process resurrection”.

Il malware avvia due servizi distinti che si monitorano reciprocamente: se uno dei due viene chiuso, l’altro lo riavvia automaticamente nel giro di pochi istanti.

Questo rende molto più complicata la rimozione manuale dell’infezione.

Google sta lavorando a nuove difese

Google è già intervenuta su alcuni aspetti della sicurezza di Android.

Le future evoluzioni della funzione Advanced Protection dovrebbero infatti limitare l’accesso alle Opzioni sviluppatore, rendendo più difficile per malware di questo tipo attivare Wireless ADB senza il consenso dell’utente.

Si tratta però di una misura ancora in fase di distribuzione e che, almeno inizialmente, potrebbe essere disponibile soltanto sui dispositivi più recenti.

Come proteggersi da RedHook

Anche in questo caso la prevenzione rimane la difesa più efficace.

Gli esperti consigliano di:

  • installare applicazioni esclusivamente dal Google Play Store o da altri store ufficiali;
  • evitare di scaricare APK ricevuti tramite SMS, WhatsApp, Telegram o e-mail;
  • diffidare dei siti che imitano il Play Store;
  • controllare con attenzione le autorizzazioni richieste da ogni applicazione, in particolare quelle relative ai Servizi di Accessibilità;
  • non attivare le Opzioni sviluppatore o Wireless ADB se non strettamente necessario;
  • mantenere Android e Google Play Protect sempre aggiornati.

È inoltre consigliabile verificare periodicamente quali app dispongono dei permessi di Accessibilità (Impostazioni > Accessibilità > App installate) e revocare immediatamente quelli concessi ad applicazioni sconosciute o non più utilizzate.

L’ingegneria sociale continua a essere l’arma principale

Il caso RedHook dimostra ancora una volta che i malware Android più pericolosi non sfruttano necessariamente vulnerabilità del sistema operativo.

La maggior parte degli attacchi continua infatti a fare leva sull’errore umano: un link ricevuto via SMS, un sito contraffatto o un’app apparentemente legittima sono spesso sufficienti per convincere la vittima a concedere spontaneamente i permessi necessari all’infezione.

Proprio per questo motivo, anche con smartphone costantemente aggiornati, la prudenza durante l’installazione delle applicazioni e nella gestione delle autorizzazioni rimane uno degli strumenti più efficaci per evitare compromissioni che possono tradursi direttamente in perdite economiche.

Ti consigliamo anche

Link copiato negli appunti