Специалисты Group-IB выявили новую версию трояна RedHook, предназначенного для атаки на Android-устройства. Вредоносное ПО способно получить практически полный контроль над смартфоном, что позволяет злоумышленникам похитить банковские данные, пароли и другую конфиденциальную информацию, говорится в блоге компании.
После установки APK-файла, загруженного с поддельного сайта, похожего на Google Play, приложение запрашивает дополнительные разрешения. Получив их, троянец активирует механизм Wireless Android Debug Bridge (ADB), что позволяет ему получить привилегированный доступ к системе и удаленно управлять устройством. В результате злоумышленники могут следить за происходящим на экране, записывать введенные данные, перехватывать конфиденциальную информацию и совершать другие действия без ведома владельца смартфона.
Новая версия RedHook получила дополнительные механизмы защиты от удаления: вредоносная программа использует технологию WakeLock, которая не позволяет системе прекратить свою работу, а также искусственно поддерживает активность экрана с помощью практически невидимого пикселя. Кроме того, троянец использует схему взаимного восстановления двух фоновых сервисов: если один из них завершает работу, второй автоматически запускает его снова, что существенно усложняет нейтрализацию вредоносного ПО.
RedHook впервые был обнаружен исследователями Cyble в 2025 году. Первоначально атаки были ориентированы на пользователей во Вьетнаме, но впоследствии география кампании расширилась.
Эксперты рекомендуют устанавливать приложения только из официальных источников, не переходить по подозрительным ссылкам и с осторожностью относиться к запросам на скачивание APK-файлов, полученным через сообщения или телефонные звонки.