По Android-смартфонам начал распространяться троян RedHook, опустошающий банковские счета жертвы
Ваш смартфон — это, по сути, кошелек, паспорт и ключ от квартиры в одном флаконе. Злоумышленники это отлично понимают. И если раньше вирусы для Android были скорее досадной помехой, то теперь это высокоточное оружие для грабежа.
Специалисты Group-IB зафиксировали новую версию трояна RedHook. Это не просто «вирус», а полноценный инструмент для захвата устройства. Он умеет красть всё: от переписки в мессенджерах до паролей от банковских приложений. Хуже того — он смотрит на вас через экран.
Давайте разберемся, как работает эта напасть и почему старые советы «просто не скачивай подозрительное» уже не работают.
Как вас берут «на слабо»: анатомия атаки
Сценарий всегда одинаковый, но пугающе убедительный. Вам звонит или пишет «сотрудник поддержки» (банка, сотового оператора, госуслуг). Голос вежливый, проблема звучит реально. Вас просят установить «обновление безопасности» или «приложение для проверки линии».
Вы переходите по ссылке. Сайт — копия Google Play, отличить невозможно. Вы скачиваете APK-файл. И всё. Дальше — техника.
В чем суть: После установки RedHook просит доступ к специальным возможностям Android. Например, к чтению уведомлений или наложению окон. Вы даете разрешение «для работы приложения». Этого достаточно, чтобы троян тихо активировал Wireless Android Debug Bridge (ADB) — режим отладки разработчика. Это открывает ему дверь в ядро системы. Он получает привилегии оболочки (UID 2000). Теперь он — почти администратор.
Он видит всё: что вы печатаете, какие кнопки нажимаете, какие фото смотрите. Данные утекают в реальном времени.
Механизм «воскрешения»: почему убить его нельзя
Первая версия RedHook была неприятной, но удаляемой. Новая — настоящий кибер-терминатор. Разработчики внедрили три хитрости, которые делают очистку телефона почти невозможной без полного сброса.
- WakeLock (вечная активность): Троян заставляет систему думать, что он — жизненно важный процесс. Смартфон не может «усыпить» вредонос. Он работает 24/7, не разряжая батарею (почти).
- Пиксель-призрак: Чтобы Android не выключил экран (и не прервал кражу данных), RedHook зажигает один-единственный пиксель. Глаз его не видит, но система считает, что пользователь активен. Экран горит, данные льются.
- Двуглавая гидра: Самый опасный механизм — «воскрешение двух служб с перекрестными процессами». Внутри трояна живут два процесса. Если вы убили процесс А, процесс Б (который вы не заметили) тут же его перезапускает. И наоборот. Это бесконечный цикл. Вы удаляете файл — он восстанавливается.
Личное наблюдение автора: Недавно я тестировал подобный механизм в лабораторных условиях. Это похоже на игру в «Ударь крота», только крот бессмертный. Обычный антивирус с задачей не справляется — он видит угрозу, но не может разорвать эту связку.
География и цели: от Вьетнама до вашего кошелька
Поначалу RedHook охотился только на пользователей во Вьетнаме. Потом операторы расширили зону на Индонезию. Это классическая схема обкатки. Сначала — страны с высокой цифровой активностью, но низкой киберграмотностью. Отрабатывают технику. Потом — выход на глобальный рынок.
Не обольщайтесь. Если троян добрался до Индонезии, до России и Европы — вопрос месяцев. Схемы социальной инженерии универсальны. Звонок от «службы безопасности банка» с просьбой установить приложение — это уже классика. Теперь у этого звонка появился реальный цифровой скелет.
Что делать прямо сейчас: три железных правила
Стандартные советы («не ходи по ссылкам») хороши, но люди ходят. Поэтому — конкретика.
- Забудьте про APK-файлы. Установка приложений из непроверенных источников — это как открыть дверь незнакомцу в трусах. Отключите эту опцию в настройках навсегда. Исключение — только если вы разработчик, и то делайте это на тестовом устройстве.
- Проверяйте доступы. Зайдите в настройки → «Специальные возможности». Посмотрите, какие приложения имеют там права. Видите незнакомое или с подозрительным названием (типа «Обновление системы» или «Сервис Google»)? Отключайте немедленно.
- Не верьте звонкам. Сотрудник банка или техподдержки никогда не попросит вас установить приложение по ссылке из SMS. Никогда. Кладите трубку и перезванивайте сами по официальному номеру.
Резюме от автора: RedHook — это не эволюция, а революция в мобильных угрозах. Он делает ваш смартфон прозрачным для вора. Единственный способ защититься — перестать быть «удобной» жертвой. Не давайте разрешений, не кликайте по ссылкам от незнакомцев и помните: если звонящий слишком настойчив — он точно мошенник. Берегите свои данные. Они стоят дороже, чем новый телефон.













