\nEspecialistas do Group-IB, empresa que atua na área de segurança da informação, relataram a identificação de uma nova versão do Trojan RedHook, que é usado para realizar ataques em dispositivos Android. O malware é capaz de obter controle total do dispositivo da vítima para roubar informações confidenciais.\n\n

\n\nFonte da imagem: androidauthority.com\n\nPara distribuir o RedHook, os invasores usam vários métodos de engenharia social, persuadindo vítimas em potencial a instalar o malware clicando em um link enviado por mensagem de texto, mensagem instantânea, e-mail ou telefonema. Eles podem fingir ser funcionários de suporte de uma empresa ou representantes de organizações conhecidas, tentando assim ganhar a confiança da vítima.\n\nDurante o processo de comunicação, o invasor convence a vítima a instalar um arquivo APK, que é oferecido para download em um site falso, cujo design é em muitos aspectos semelhante ao do Google Play. Após a instalação, o malware solicita determinadas permissões sob o pretexto de garantir o funcionamento estável do aplicativo. Usando essas permissões, o RedHook ativa secretamente o Wireless Android Debug Bridge, obtendo assim um nível de acesso com privilégios de shell com UID 2000. Essas manipulações permitem que o Trojan assuma o controle total do dispositivo da vítima e, posteriormente, transfira vários dados para o invasor, incluindo o que está acontecendo na tela do dispositivo, dados de pressionamento de tecla, informações confidenciais, etc.\n\nO RedHook foi descoberto pela primeira vez por pesquisadores da Cyble no ano passado. Agora, conseguimos identificar uma versão modificada do malware que utiliza métodos mais sofisticados para dificultar ao máximo sua remoção do dispositivo. Por exemplo, o Trojan usa o mecanismo WakeLock para forçar o sistema a manter constantemente o malware em execução. Além disso, o Trojan é capaz de deixar a tela do dispositivo ligada, ativando apenas um pixel, quaseinvisível ao olho humano. Por isso, convence o Android de que é um processo importante que não pode ser interrompido. Além disso, o novo RedHook usa um sistema que os pesquisadores chamam de “mecanismo de ressurreição de processo cruzado para dois serviços”. Simplificando, estes são dois serviços que são capazes de se restaurar quando um deles deixa de estar ativo. Isso torna o processo de neutralização do Trojan ainda mais difícil.\n\nDe acordo com a fonte, o RedHook tinha como objetivo inicial realizar ataques a indivíduos no Vietnã. Os operadores do malware expandiram posteriormente as suas operações para a Indonésia. Para evitar serem vítimas de um Trojan, os usuários são aconselhados a não baixar arquivos de instalação de lojas não oficiais, a não clicar em links suspeitos e a exercer vigilância e cautela em geral.\n