La truffa dell’estate è qui: RedHook si prende lo smartphone

Generato con IA
()

Una minaccia che non fa rumore, ma può costare molto

Le campagne malware più pericolose non sono sempre quelle che bloccano lo smartphone con una schermata minacciosa o che chiedono un riscatto in criptovalute. Sempre più spesso i criminali informatici preferiscono agire nell’ombra, senza attirare l’attenzione dell’utente.

È proprio questo il principio alla base di RedHook, una nuova famiglia di malware Android che sta attirando l’attenzione degli esperti di sicurezza informatica per la sua capacità di sfruttare due funzionalità perfettamente legittime del sistema operativo: il Servizio di Accessibilità e il Wireless ADB (Android Debug Bridge).

Il risultato è una compromissione quasi completa dello smartphone, con la possibilità di sottrarre denaro, credenziali bancarie e dati personali senza che il proprietario del dispositivo si accorga immediatamente di ciò che sta accadendo. La particolarità della truffa consiste proprio nella gradualità dell’attacco. In molti casi non vengono effettuati prelievi elevati che potrebbero far scattare gli allarmi della banca, ma piccole transazioni di pochi centesimi o pochi euro distribuite nel tempo. Singolarmente sembrano innocue, ma nel corso delle settimane possono trasformarsi in perdite economiche molto consistenti.

Chi c’è dietro RedHook

Gli autori di RedHook sono gruppi criminali specializzati nello sviluppo di malware per Android. L’obiettivo principale è ottenere il controllo remoto del dispositivo della vittima per intercettare credenziali, autorizzare pagamenti, leggere SMS, aggirare l’autenticazione a due fattori e manipolare le applicazioni bancarie.

Il malware viene distribuito principalmente attraverso applicazioni apparentemente innocue scaricate da siti non ufficiali, falsi aggiornamenti di sistema, file APK ricevuti tramite messaggi o social network e campagne di phishing che invitano l’utente a installare software apparentemente indispensabili.

Come funziona l’attacco

La forza di RedHook non risiede tanto nella complessità tecnica del malware, quanto nell’ingegneria sociale. L’utente viene convinto a concedere autorizzazioni che normalmente non dovrebbe mai assegnare a un’applicazione sconosciuta.

Una volta installata, l’applicazione richiede l’attivazione del Servizio di Accessibilità. Questa funzione nasce per aiutare persone con disabilità visive o motorie, ma nelle mani di un malware diventa uno strumento estremamente potente. Attraverso l’accessibilità il software malevolo può leggere ciò che appare sullo schermo, simulare tocchi e gestire automaticamente pulsanti e finestre di dialogo.

Successivamente il malware induce la vittima ad attivare il Wireless ADB, una funzione pensata per gli sviluppatori Android che permette di controllare il dispositivo tramite rete Wi-Fi senza utilizzare il classico collegamento USB. Una volta ottenuto questo accesso, RedHook può installare ulteriori componenti, modificare impostazioni di sistema e mantenere un controllo persistente sul telefono.

La combinazione tra Accessibilità e Wireless ADB rende il malware particolarmente difficile da individuare, perché sfrutta strumenti ufficialmente previsti dal sistema operativo anziché vulnerabilità tradizionali.

Dove si manifesta il problema

Il fenomeno interessa principalmente smartphone Android, soprattutto quando vengono installate applicazioni provenienti da marketplace alternativi oppure scaricate direttamente da siti Internet.

Le campagne sono state osservate in diversi Paesi e vengono continuamente adattate alle lingue locali. I criminali modificano loghi, nomi delle applicazioni e messaggi per aumentare il livello di fiducia delle vittime.

Quando bisogna preoccuparsi

L’infezione può verificarsi in qualsiasi momento, ma aumenta durante i periodi estivi, quando molte persone viaggiano, utilizzano reti Wi-Fi pubbliche e installano rapidamente applicazioni dedicate alle vacanze, ai trasporti, agli hotel o agli eventi.

In queste circostanze è più facile abbassare la soglia di attenzione e autorizzare rapidamente richieste che normalmente verrebbero analizzate con maggiore prudenza.

Perché vengono sottratti pochi centesimi

Dal punto di vista criminale, prelevare grandi somme comporta un rischio elevato.

Le banche dispongono infatti di sistemi antifrode capaci di individuare movimenti anomali.

Piccole transazioni, invece, possono passare inosservate per settimane. Molti utenti non controllano quotidianamente l’estratto conto e attribuiscono gli importi minimi a servizi digitali o abbonamenti dimenticati.

Questa tecnica permette agli attaccanti di mantenere attivo il malware molto più a lungo e di colpire contemporaneamente migliaia di dispositivi.

I sintomi da non sottovalutare

Uno smartphone compromesso può manifestare diversi comportamenti insoliti. Tra i più frequenti vi sono improvvisi rallentamenti, comparsa di finestre che si aprono autonomamente, richieste anomale di autorizzazioni, consumo eccessivo della batteria, aumento del traffico dati, notifiche bancarie sconosciute oppure attivazione automatica di impostazioni mai configurate dall’utente.

Anche la comparsa del Servizio di Accessibilità attivo per applicazioni sconosciute rappresenta un segnale che merita un controllo immediato.

Come eliminare RedHook e mettere in sicurezza il dispositivo

Nel momento in cui si sospetta un’infezione è importante interrompere immediatamente qualsiasi operazione bancaria effettuata dallo smartphone.

  • Occorre verificare quali applicazioni dispongono delle autorizzazioni di Accessibilità ed eliminare tutte quelle sconosciute o non strettamente necessarie.
  • Successivamente bisogna controllare che il Wireless ADB sia completamente disattivato all’interno delle Opzioni sviluppatore. Se tali opzioni risultano abilitate senza che l’utente le abbia mai utilizzate, è opportuno considerare il dispositivo potenzialmente compromesso.
  • È consigliabile effettuare una scansione completa con una soluzione antivirus affidabile aggiornata alle ultime definizioni.
  • Dopo la rimozione del malware è opportuno modificare tutte le password degli account principali, partendo dall’account Google, passando ai servizi di posta elettronica e terminando con quelli bancari.

Per maggiore sicurezza è consigliabile revocare le sessioni attive dell’account Google e controllare i dispositivi collegati.

Nel caso siano state rilevate operazioni bancarie non autorizzate è fondamentale contattare immediatamente la banca richiedendo il blocco delle carte e l’apertura della procedura antifrode.

Se permane anche il minimo dubbio sulla completa rimozione dell’infezione, il ripristino completo dello smartphone ai dati di fabbrica rappresenta la soluzione più sicura, seguito dalla reinstallazione esclusiva delle applicazioni provenienti dal Google Play Store.

Sequenza operativa consigliata

  • Verificare immediatamente l’estratto conto bancario e individuare eventuali microtransazioni sospette.
  • Attivare la modalità aereo oppure scollegare lo smartphone dalla rete Wi-Fi e dalla connessione dati.
  • Controllare tutte le applicazioni installate recentemente ed eliminare quelle sconosciute.
  • Verificare i permessi di Accessibilità e revocare qualsiasi autorizzazione sospetta.
  • Controllare che Wireless ADB e le Opzioni sviluppatore siano disattivati.
  • Aggiornare Android e tutte le applicazioni installate.
  • Eseguire una scansione completa con un antivirus affidabile.
  • Modificare tutte le password principali utilizzando un dispositivo sicuro.
  • Abilitare, ove possibile, l’autenticazione a più fattori tramite applicazioni dedicate anziché SMS.
  • Contattare la banca qualora siano presenti movimenti non autorizzati.
  • Ripristinare il dispositivo alle impostazioni di fabbrica se permane qualsiasi sospetto di compromissione.

Le migliori strategie di prevenzione

La difesa più efficace continua a essere rappresentata dalla prudenza. Installare esclusivamente applicazioni provenienti dal Google Play Store o da fonti aziendali affidabili riduce drasticamente il rischio di infezione.

È altrettanto importante non concedere mai autorizzazioni di Accessibilità ad applicazioni che non ne abbiano una reale necessità e mantenere sempre disattivate le Opzioni sviluppatore e il Wireless ADB quando non vengono utilizzati per attività di sviluppo.

Aggiornare regolarmente Android, verificare frequentemente l’estratto conto e utilizzare sistemi di autenticazione avanzata costituiscono ulteriori livelli di protezione contro questa nuova generazione di malware.

Fonti

  • Google Android Developers – Documentazione ufficiale su Android Debug Bridge (ADB) e Wireless Debugging.
  • Android Security Center – Sicurezza del sistema operativo Android.
  • Google Play Protect – Documentazione ufficiale sulle protezioni integrate di Android.
  • OWASP Mobile Application Security (MASVS e MSTG).
  • National Institute of Standards and Technology (NIST) – Linee guida sulla sicurezza dei dispositivi mobili.
  • CISA – Cybersecurity and Infrastructure Security Agency – Raccomandazioni sulla sicurezza mobile.
  • Report pubblici di società di sicurezza informatica quali ThreatFabric, Cleafy, Zimperium e Kaspersky relativi ai malware Android che abusano dei servizi di Accessibilità e del Wireless ADB.

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

- / 5
Grazie per aver votato!

Notifiche push abilitate

Grazie per aver abilitato le notifiche!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *