Bezpečnostní experti upozorňují na novou a výrazně nebezpečnější verzi malwaru RedHook, která dokáže převzít téměř úplnou kontrolu nad telefonem s Androidem. Na rozdíl od běžných škodlivých aplikací se nespoléhá pouze na krádež přihlašovacích údajů. Pokud se útočníkům podaří uživatele přesvědčit k instalaci falešné aplikace, mohou získat oprávnění na úrovni systému a následně například odcizit přístupové údaje do internetového bankovnictví nebo autorizovat finanční transakce bez vědomí majitele zařízení.
RedHook se původně zaměřoval především na uživatele ve Vietnamu, nyní se však jeho výskyt rozšiřuje i do dalších zemí jihovýchodní Asie. Odborníci zároveň upozorňují, že podobný malware se mohou velmi rychle objevit prakticky kdekoliv na světě, včetně Evropy.
Mohlo by vás zajímat
Jak RedHook útočí?
Celý útok začíná klasickým phishingem. Oběť obdrží SMS, e-mail nebo zprávu na sociálních sítích, případně telefonát od člověka, který se vydává za pracovníka banky, státní instituce nebo známé společnosti. Cílem je přesvědčit uživatele, aby si stáhl instalační soubor APK z podvodné stránky připomínající obchod Google Play.
Po instalaci aplikace následuje žádost o udělení oprávnění pro zpřístupnění (Accessibility). Právě tato oprávnění jsou dnes jedním z nejčastějších nástrojů útočníků, protože umožňují sledovat dění na obrazovce a ovládat telefon bez zásahu uživatele.
Nová verze RedHook jde ale ještě dál. Malware automaticky aktivuje vývojářské možnosti a zapne bezdrátové ladění Android Debug Bridge (Wireless ADB). Jde o funkci určenou především vývojářům, která umožňuje vzdálenou správu telefonu. V rukou útočníků se však mění ve velmi silný nástroj pro získání téměř neomezeného přístupu k zařízení.
Malware chce telefon ovládat
Získáním přístupu přes Wireless ADB dokáže RedHook zaznamenávat stisky kláves, sledovat obsah displeje, odemykat telefon nebo provádět akce jménem uživatele. To výrazně zvyšuje šanci na úspěšné odcizení peněz z bankovních účtů.
Nová varianta navíc obsahuje několik mechanismů, které výrazně komplikují její odstranění. Malware například brání přechodu telefonu do režimu spánku, využívá minimální neviditelné okno k udržení aktivního procesu a provozuje dvě vzájemně propojené služby, které se dokážou navzájem znovu spustit, pokud jednu z nich systém ukončí. Výsledkem je škodlivý software, který může na zařízení fungovat velmi dlouho, aniž by si uživatel čehokoliv všiml.
Samsung, Google i další výrobci řeší stejný problém
RedHook není útok zaměřený na jedinou značku. Ohrožené jsou telefony Samsung, Google Pixel, Xiaomi, Motorola i prakticky všechna další zařízení s Androidem, pokud splňují podmínky útoku.
Google již pracuje na dalším posílení ochrany Androidu. Připravovaný režim Advanced Protection by měl mimo jiné výrazně omezit přístup k vývojářským funkcím, což podobným útokům zkomplikuje cestu. Funkce ale zatím není běžně dostupná a její nasazení bude postupné. Stejná ochrana se podostává také na kompatibilní zařízení Samsung Galaxy s novějšími verzemi Androidu a nadstavbou One UI 8 či 9.
Jak se chránit?
Přestože RedHook využívá velmi sofistikované techniky, vstupní bod útoku zůstává překvapivě jednoduchý. Bez spolupráce uživatele se malware do telefonu zpravidla nedostane. Ochrana je proto jednoduchá:
- Instalujte aplikace pouze z Google Play nebo jiných ověřených obchodů.
- Nestahujte APK soubory z odkazů zaslaných v SMS, e-mailech nebo přes sociální sítě.
- Pečlivě kontrolujte, proč aplikace požaduje oprávnění Accessibility.
- Nikdy nevěřte naléhavým zprávám o údajné blokaci účtu nebo nutnosti okamžité aktualizace.
- Nechte zapnutou službu Google Play Protect, která dokáže část podobných hrozeb odhalit ještě před instalací.
Přestože je současná vlna útoků zaměřena především na Asii, historie kybernetických kampaní ukazuje, že úspěšné metody se velmi rychle šíří i do Evropy a dalších regionů. Opatrnost při instalaci aplikací proto zůstává jednou z nejúčinnějších forem ochrany bez ohledu na to, zda používáte telefon Samsung Galaxy, Google Pixel nebo jakékoli jiné zařízení s Androidem.