Пользователей Android предупредили о крадущем деньги трояне RedHook

Group-IB: Android-троян RedHook способен получать полный контроль над смартфоном
quietbits/Shutterstock/FOTODOM

Специалисты компании Group-IB выявили новую версию трояна RedHook, предназначенного для атак на Android-устройства. Вредонос способен получить практически полный контроль над смартфоном, что позволяет злоумышленникам похищать банковские данные, пароли и другую конфиденциальную информацию, говорится в блоге компании.

Распространение RedHook строится на методах социальной инженерии: пользователей убеждают установить вредоносное приложение через ссылки, полученные по SMS, электронной почте, в мессенджерах или во время телефонных звонков. Злоумышленники нередко представляются сотрудниками служб поддержки или известных организаций, чтобы вызвать доверие.

После установки APK-файла, загруженного с поддельного сайта, внешне напоминающего Google Play, приложение запрашивает расширенные разрешения. Получив их, троян активирует механизм Wireless Android Debug Bridge (ADB), что позволяет ему получить привилегированный доступ к системе и удалённо управлять устройством. В результате злоумышленники могут отслеживать происходящее на экране, фиксировать вводимые данные, перехватывать конфиденциальную информацию и выполнять другие действия без ведома владельца смартфона.

Новая версия RedHook получила дополнительные механизмы защиты от удаления: вредонос использует технологию WakeLock, которая не позволяет системе завершить его работу, а также искусственно поддерживает активность экрана с помощью практически незаметного пикселя. Кроме того, троян применяет схему взаимного восстановления двух фоновых служб: если одна из них завершается, вторая автоматически запускает ее вновь, существенно усложняя обезвреживание вредоносного ПО.

Впервые RedHook был обнаружен исследователями Cyble в 2025 году. Изначально атаки были сосредоточены на пользователях во Вьетнаме, однако впоследствии география кампании расширилась.

Эксперты рекомендуют устанавливать приложения только из официальных источников, не переходить по подозрительным ссылкам и с осторожностью относиться к просьбам скачать APK-файлы, полученным через сообщения или телефонные звонки.

Ранее сообщалось, что новый вирус превращает Chrome на Android в инструмент шифрования данных.