Guia de Compras e Reviews

RedHook: vírus usa função do próprio Android para roubar usuários

O vírus RedHook para dispositivos Android passou por uma atualização recente que o deixou ainda mais perigoso. Pesquisadores da Group-IB detalharam o funcionamento desta nova versão, capaz de hackear os aparelhos por meio da Depuração do Android. O objetivo é roubar senhas e dados bancários dos usuários.

Esse RedHook é um Cavalo de Troia de Acesso Remoto (RAT) já bem conhecido no mundo da cibersegurança. Por ser um RAT, esse é um software malicioso que, uma vez instalado, permite que um criminoso controle o seu smartphone como se o tivesse em mãos em qualquer lugar.

smart_display

Nossos vídeos em destaque

Os cibercriminosos entram em contato com a vítima por aplicativos de mensagens, ligações telefônicas, fingindo ser representantes de instituições financeiras ou fiscalizadores do governo. A mensagem sempre tem um tom de urgência para o usuário resolver algo e os atacantes solicitando o download de um app fora da Play Store.

Criminosos usam documentos de intimações do governo e até propostas de trabalho (Imagem: Group-ID/reprodução)

Para enganar as vítimas e os sistemas de segurança, os criminosos criam páginas falsas que imitam perfeitamente a Google Play Store. Até mesmo os arquivos maliciosos que contém o vírus estão hospedados em plataformas legítimas, como o GitHub e a Amazon. Ao realizar o download, o golpe entra na próxima fase: o roubo.

Como os cibercriminosos têm acesso ao RedHook no aparelho, as possibilidades são imensas. Esses agentes podem gravar a tela da vítima sem criar alarde e assistir quando o usuário digita as credenciais bancárias, por exemplo. Há a interceptação de SMS, instalação de outros apps arbitrariamente e até a captura de fotos com a câmera frontal.

Burlando a Depuração

Até aqui, o RedHook se mostra como apenas mais um Cavalo de Troia entre tantos outros disponíveis. Porém, esse malware usa caminhos pouco convencionais para atingir o seu objetivo: a Depuração Sem Fio do Android. Antes disso, ele ativa algumas funcionalidades para controlar o aparelho.

Quando a vítima baixa e instala o RedHook ele imediatamente solicita que o usuário ative a permissão de Acessibilidade do Android. Essa ferramenta foi pensada para pessoas com deficiências, mas o cibercrime descobriu que pode usar isso para “passear” pelo celular sem que o usuário perceba. Literalmente, o malware passa a usar o aparelho.

figure3_original-1.png.webp
Golpe usa até página falsa do governo do Vietnam para enganar as vítimas (Imagem: Group-ID/reprodução)

De maneira invisível, o vírus ativa o Modo Desenvolvedor nas configurações e liga a ferramenta Depuração Sem Fio. Esse é um recurso que permite desenvolvedores testarem seus apps ao ligarem o celular ao computador por meio de um cabo. Mas o RedHook não precisa disso.

O vírus carrega um tipo de máquina virtual que simula um PC, fazendo com que o ADB se conecte a ele como se fosse um computador real. Com isso, o RedHook se apropria de um código aberto chamado Shizuku e chega ao nível de poder de Privilégio Shell. Em outras palavras, ao conseguir esse Shell, ele se torna um chefão do sistema e um grande aliado dos criminosos.

Os pesquisadores descobriram que esse malware cria uma janela de 1 pixel na tela e reproduz um som silencioso. Como o Android fecha apps em segundo plano para economizar energia, o RedHook se torna imune a isso, já que tecnicamente está rodando em primeiro plano.

Como se proteger do RedHook?

Casos como o do RedHook demonstram como atitudes simples podem invalidar um golpe complexo, como esse. Em primeira instância, sempre que alguém ligar ou enviar mensagem solicitando o download de softwares, principalmente fora da loja oficial (Play Store), é um grande sinal de golpe. Desconfie e não abra o link solicitado.

Aliás, a menos que você tenha noção do que está fazendo, realizar o download de aplicativos fora das lojas oficiais quase sempre culmina na aquisição de malwares. Também sempre desconfie quando um app solicitar a permissão para acessar recursos de acessibilidade.

Por falar em golpes via mensagens telefônicas, um novo grupo finge ser o chefe de algumas companhias para roubar dados de empresas. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.


Fonte da notícia: Novidades do TecMundo https://www.tecmundo.com.br/seguranca/414525-redhook-virus-usa-funcao-do-proprio-android-para-roubar-usuarios.htm

Felipe Vitor Vidal Neri

Artigos relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo
Verified by MonsterInsights