Análisis Principal
Seguridad y Riesgo5 min

RedHook utiliza ADB Inalámbrico y transforma el propio Android en cliente contra el propietario

Smartphone Android sobre mesa de café mostrando tela de login bancário falso e ícone verde de opções de desenvolvedor na barra de status, com silhueta desfocada de uma pessoa ao fundo.

Análisis de Group-IB publicado el 12 de julio detalla nueva variante del troyano bancario. El malware activa la depuración a través de accesibilidad y obtiene shell sin cable. Vietnam e Indonesia son el objetivo actual.

Group-IB publicó el 12 de julio el análisis de la nueva variante del troyano bancario RedHook, y la novedad técnica marca una inflexión para los equipos de fraude en bancos. La familia de malware comenzó a abusar del ADB Inalámbrico nativo de Android para obtener acceso a nivel de shell sin depender de ningún ordenador conectado al dispositivo. Hasta la versión anterior, catalogada en 2025, este tipo de escalada dependía de que el atacante tuviera medios físicos para conectar el dispositivo. Ahora el propio teléfono cumple el papel de cliente ADB contra sí mismo.


El truco


El camino de la infección comienza por ingeniería social. Los operadores de RedHook se hacen pasar por servidores de organismos públicos o por atención a clientes de bancos en llamadas y mensajes a través de Zalo, la principal aplicación de mensajería de Vietnam, y conducen a la víctima hacia sitios falsos estilizados como si fueran la Google Play Store, de donde se descarga el APK malicioso por sideload. Después de instalado, la aplicación pide permiso de accesibilidad, ese conjunto de API pensado para lectores de pantalla y usuarios con discapacidad visual, que otorga al software un control amplio sobre lo que aparece y lo que se toca.


Con este permiso, RedHook manipula los Ajustes, activa las Opciones de Desarrollador, enciende la Depuración Inalámbrica y captura el código de emparejamiento mostrado en la pantalla. A partir de ahí, conecta el servicio ADB a través del propio loopback del dispositivo, 127.0.0.1, y obtiene shell. El ADB con shell es acceso casi raíz para fines prácticos: permite instalar aplicaciones sin consentimiento adicional, finalizar procesos que estarían protegidos, inyectar acceso y leer áreas de almacenamiento fuera del alcance de aplicaciones comunes. Group-IB registra que RedHook mantiene las capacidades clásicas de RAT que ya tenía en 2025, incluyendo streaming de pantalla, interceptación de teclas pulsadas, automatización de UI y robo de credenciales, ahora reforzadas por persistencia a través de suplantación de actividad en primer plano y reproducción silenciosa de medios para evitar ser suspendido por el sistema.


El ángulo bancario


La telemetría recopilada por Group-IB en el momento del análisis contabilizó 570 IDs de usuario reportando al servidor de comando, lo que indica más de 500 dispositivos activamente infectados. Es un volumen modesto para estándares de campaña global, pero suficiente para una operación de fraude regional, y la distribución actual apunta preferentemente a aplicaciones de bancos y organismos fiscales en Vietnam e Indonesia, dos mercados en los que la adopción de la banca móvil ha crecido más rápido que la madurez de las áreas de fraude corporativas.


Para el banco en medio del golpe, el problema no es tener su propia aplicación comprometida, sino ver cómo la credencial del cliente flanquea la autenticación multifactor a través de la captura de OTP en la pantalla y la automatización del flujo dentro de la UI oficial. Es el patrón que los analistas de fraude llaman compromiso en el dispositivo: la solicitud de transferencia sale autenticada desde el dispositivo legítimo del cliente, desde la IP legítima y con el token generado por la propia aplicación. Ninguna de las señales tradicionales de anomalía detecta la operación como maliciosa en tiempo real, porque, técnicamente, no lo es.


Lo que preocupa fuera del Sudeste Asiático


El patrón de RedHook interesa a áreas de seguridad de instituciones globales por dos motivos. Primero, la técnica no es geográficamente exclusiva. La Depuración Inalámbrica es un recurso nativo de Android desde la versión 11 y está disponible en cualquier dispositivo del mundo con esa base, lo que significa que nada impide la recompilación de la misma familia para hacerse pasar por bancos brasileños, europeos o africanos tan pronto como el retorno financiero compense el ajuste. Segundo, el vector a través de accesibilidad sigue siendo el cuello de botella. Google ha endurecido la política en versiones recientes exigiendo justificación para el uso de Servicios de Accesibilidad por aplicaciones distribuidas en la Play Store, pero RedHook opera fuera de la tienda, por sideload, lo que anula la protección de forma limpia.


Lo que los equipos de fraude bancaria pueden hacer a corto plazo está limitado por el hecho de que el propietario del dispositivo ha dado su consentimiento en cada paso. Alertas en producto cuando se activa la Depuración Inalámbrica, detección del lado del servidor de patrones de escritura automatizada en flujos sensibles, revalidación fuera de banda en transacciones de alto valor y comunicación preventiva a clientes contra aplicaciones instaladas por sideload siguen siendo el kit básico. Lo que esta variante realmente cambia es el costo de la primera etapa para el atacante: sin depender de acceso físico o de CVE del fabricante, una ingeniería social bien ejecutada ahora abre shell en un dispositivo común y transforma la autenticación multifactor en teatro. Los bancos brasileños que dependen fuertemente de OTP en la aplicación tienen un interés directo en observar esta cadena antes de que la misma técnica llegue traducida.

Análisis Principal