Il trojan bancario RedHook mette gli attaccanti in condizione di osservare ciò che appare sullo schermo, registrare quello che viene digitato, raccogliere messaggi e contatti e controllare il dispositivo Android a distanza.
È una minaccia nota da diversi mesi ma, nella sua nuova variante esaminata il 9 luglio 2026 dall’azienda di cybersecurity Group-IB compie un ulteriore salto e trasforma alcuni strumenti legittimi destinati agli sviluppatori in un mezzo per ottenere privilegi molto superiori a quelli normalmente concessi a un’applicazione.
Non ci sono casi documentati in Italia ma ciò non autorizza né a tirare sospiri di sollievo né a cadere nel panico. Al di là degli strumenti specifici, la migliore difesa rimane sempre la consapevolezza degli utenti.
I cyber criminali mostrano una certa predilezione per i flussi che portano direttamente al denaro e le minacce diventano sempre più credibili ed efficaci.
Da trojan bancario a telecomando
RedHook è contemporaneamente un trojan bancario e un Remote Access Trojan, ovvero un programma che permette a un aggressore di comandare da remoto il dispositivo infetto. Il malware può registrare i tasti premuti, trasmettere lo schermo in tempo reale, acquisire schermate, leggere gli sms e i contatti, aprire applicazioni e simulare tocchi, trascinamenti e altre azioni normalmente compiute da un utente.
La versione analizzata nel 2025 da Cyble Research and Intelligence Labs supportava 34 comandi impartiti dai server gestiti dai cyber criminali. Ora, la nuova ricerca di Group-IB, ha intercettato 53 diversi comandi. Tra le operazioni disponibili figurano l’installazione e la disinstallazione di applicazioni, il blocco e lo sblocco dello smartphone, l’attivazione della fotocamera frontale e la visualizzazione di false finestre di verifica. Alcuni comandi individuati nel codice, precisa Group-IB, non risultavano ancora funzionanti.
L’attacco comincia da una falsa app
RedHook non si installa automaticamente e non è stata documentata una sua distribuzione attraverso Google Play, lo store di applicazioni destinate ai dispositivi Android.
Le campagne osservate partono generalmente da telefonate o messaggi nei quali i criminali fingono di rappresentare banche, uffici pubblici o servizi di assistenza. La vittima viene indirizzata verso un sito contraffatto, spesso costruito per ricordare Google Play, e invitata a scaricare direttamente un file APK, il formato utilizzato dalle applicazioni Android.
Le prime campagne conosciute imitavano la Banca centrale del Vietnam, la banca Sacombank, la polizia stradale vietnamita, società elettriche e altri enti e organizzazioni locali.
I file dannosi erano ospitati anche su servizi legittimi, come repository GitHub e bucket Amazon S3, sfruttati per rendere il download più affidabile agli occhi dell’utente. Una volta avviata, la falsa applicazione chiede credenziali, codici di sicurezza, dati bancari e persino fotografie dei documenti d’identità.
Il passaggio decisivo è la richiesta di attivare il servizio Accessibilità di Android. Questa funzione nasce per aiutare le persone con disabilità a utilizzare il telefono, ma può permettere a un’app autorizzata di leggere ciò che appare sullo schermo e di eseguire azioni al posto dell’utente. RedHook accompagna la vittima attraverso una procedura guidata che presenta il permesso come indispensabile al funzionamento dell’applicazione.
Lo smartphone che attacca sé stesso
La novità più importante riguarda l’abuso di Android Debug Bridge (ADB), strumento legittimo con cui gli sviluppatori possono installare software, impartire comandi e analizzare uno smartphone da un computer. La modalità Wireless Debugging consente di effettuare queste operazioni attraverso una connessione senza fili, ovvero senza collegare il telefono con un cavo Usb.
Dopo aver ottenuto il controllo del servizio Accessibilità, RedHook può aprire autonomamente le impostazioni, attivare le opzioni per sviluppatori, abilitare il debug wireless e recuperare il codice necessario ad associare il dispositivo. Il malware incorpora quindi un proprio client ADB e lo collega al servizio ADB presente sullo stesso smartphone: in sostanza, il telefono diventa contemporaneamente il dispositivo controllato e il computer dal quale partono i comandi.
Per realizzare questo meccanismo RedHook riutilizza parti del codice di Shizuku, progetto Open source legittimo che consente alle applicazioni autorizzate di accedere a funzioni avanzate di Android. Il malware ottiene così i privilegi dell’utente di sistema “shell” con i quali può modificare impostazioni protette, concedersi nuovi permessi ed eseguire comandi normalmente vietati alle applicazioni comuni.
Non è una falla sconosciuta di Android
Group-IB ribadisce che RedHook rappresenta il primo caso osservato dai suoi ricercatori di malware capace di automatizzare in questo modo l’abuso del debug wireless. Non si tratta però dello sfruttamento di una vulnerabilità software né di un attacco che può impossessarsi da solo di qualunque smartphone Android.
La catena iniziale dipende ancora dall’ingegneria sociale e necessita che la vittima prelevi un’applicazione da una fonte esterna, che la installi e che le conceda il permesso di Accessibilità.
È proprio questa prima autorizzazione a permettere al malware di compiere automaticamente i passaggi successivi mentre una schermata sovrapposta può nascondere ciò che sta accadendo nelle impostazioni.
Difficile da spegnere e da rimuovere
RedHook adotta diversi espedienti per rimanere attivo. Può impedire al processore del dispositivo Android di sospendere alcune attività e usare due servizi che si controllano e si riavviano a vicenda.
Un controllo programmato ogni cinque minuti verifica che i servizi siano ancora operativi. Dopo il riavvio del dispositivo, il malware può ripartire automaticamente, riattivare il debug wireless e ristabilire i privilegi ottenuti in precedenza. Questa architettura rende insufficiente la semplice chiusura della falsa applicazione e può ostacolarne la disinstallazione.
Le informazioni rubate vengono trasmesse ai server di comando e controllo dei criminal hacker e lo schermo consente agli aggressori di seguire in diretta le operazioni della vittima, permettendo anche l’attivazione della fotocamera frontale per acquisire il volto dell’utente.
Associando la sua fotografia ai documenti, ai dati anagrafici e alle informazioni bancarie, gli aggressori possono ottenere un insieme di dati utilizzabile non soltanto per svuotare un conto, ma anche per successive frodi e furti di identità.
Dal Vietnam all’Indonesia
Le prime tracce dell’infrastruttura di RedHook risalgono almeno al novembre del 2024, mentre campioni del malware sarebbero apparsi in circolazione a gennaio del 2025. L’azienda di cybersecurity Cyble lo ha descritto pubblicamente nel luglio 2025, dopo aver individuato campagne rivolte agli utenti vietnamiti.
La ricerca del 2026 segnala attività anche in Indonesia, mostrando un allargamento del raggio operativo nel Sud-est asiatico. Alcune stringhe e schermate in lingua cinese fanno pensare a sviluppatori o operatori sinofoni, ma non permettono di attribuire con certezza il malware a uno specifico gruppo criminale.
Al momento non risultano campagne RedHook documentate contro utenti italiani. Questo non rende irrilevante la minaccia perché l’infrastruttura può essere adattata ad altre banche e amministrazioni sostituendo loghi, testi e pagine contraffatte.
Come ridurre il rischio
La difesa più efficace consiste nell’interrompere la catena prima dell’installazione. Le applicazioni bancarie o della pubblica amministrazione non dovrebbero essere prelevate attraverso link ricevuti per telefono, sms o applicazioni di messaggistica, ma cercate direttamente nello store ufficiale o sul sito ufficiale dell’organizzazione. Una richiesta di attivare il servizio Accessibilità per una comune app bancaria o amministrativa deve essere considerata un segnale di forte pericolo.
Se si sospetta un’infezione, Group-IB raccomanda di contattare la banca utilizzando un numero verificato indipendentemente, chiedere il blocco immediato dei conti accessibili dal dispositivo e non interagire con eventuali avvisi mostrati sul telefono. Cyble indica tra le possibili misure anche il ripristino dello smartphone alle impostazioni di fabbrica e il cambio delle credenziali usando però un dispositivo sicuramente non compromesso.