Ponselio — Varian baru malware Android bernama RedHook kini dilaporkan menargetkan pengguna di Vietnam dan Indonesia dengan kemampuan baru yang memungkinkan peretas mengaktifkan fitur debugging nirkabel (wireless ADB) untuk mendapatkan akses level shell dan menguras rekening korban.
Laporan dari perusahaan keamanan siber Group-IB, yang dirilis pada 9 Juli 2026, menyatakan RedHook menyebar melalui tautan yang dikirim lewat SMS, email, atau pesan media sosial. Operator biasanya menyamar sebagai pegawai customer service atau organisasi terpercaya dan membujuk korban mengunduh APK dari situs palsu yang menyerupai Google Play Store.
Kronologi Infeksi dan Cara Kerja
Setelah APK terpasang, RedHook meminta izin Aksesibilitas dengan dalih agar aplikasi dapat berfungsi normal. Menggunakan izin ini, malware secara otomatis mengakses menu Developer options, mengaktifkan wireless ADB, dan memasangkan dirinya seperti komputer yang berwenang, sehingga memperoleh akses shell (UID 2000).
RedHook pertama kali didokumentasikan oleh peneliti Cyble pada Juli 2025 sebagai trojan perbankan yang merekam layar dan mencatat penekanan tombol. Versi yang ditemukan Group-IB adalah pembaruan yang meningkatkan kemampuan sehingga malware mampu mengaktifkan wireless ADB sendiri dan mendapatkan hak istimewa yang sebelumnya tidak dimiliki aplikasi biasa.
“Tidak ada eksploitasi di sini, hanya mengubah antarmuka debugging menjadi jalur menuju hak istimewa level shell,” tulis Group-IB dalam laporannya, RedHook Returns with a Dangerous Upgrade, pada 9 Juli 2026.
Fitur Bertahan dan Teknik Mengelabui Sistem
Group-IB menemukan bahwa versi baru RedHook sangat gigih bertahan di perangkat. Malware menggunakan WakeLock untuk menjaga proses tetap berjalan, memutar audio senyap untuk menjaga prosesor aktif, dan menyalakan layar dengan trik piksel 1×1 hampir tak terlihat agar sistem menganggap proses itu penting.
Sumber lain menyebutkan RedHook memakai “two-service cross-process resurrection mechanism,” yakni dua layanan yang dapat membangkitkan satu sama lain ketika dimatikan, sehingga malware sulit dihapus sepenuhnya.
Risiko Target dan Perbedaan Platform
Ancaman ini terutama mengincar pengguna yang menginstal aplikasi dari luar Google Play Store. Jika pengguna hanya mengunduh dari Google Play dengan Play Protect aktif, risiko terinfeksi berkurang. Selain itu, metode ini tidak berlaku pada iPhone karena Apple tidak menyediakan fitur seperti wireless ADB bagi aplikasi yang diunduh.
Imbauan dan Cara Melindungi Ponsel
Para peneliti mengimbau pengguna Android untuk berhati-hati dan menerapkan langkah pencegahan berikut:
- Hanya instal aplikasi dari Google Play atau toko resmi lainnya.
- Jangan pernah memberikan izin Aksesibilitas ke aplikasi yang tidak memiliki alasan jelas untuk membutuhkannya.
- Waspadai panggilan atau pesan tak terduga yang mengaku dari bank atau pemerintah sampai Anda memverifikasinya.
- Periksa menu Developer options secara berkala untuk memastikan debugging nirkabel tidak aktif tanpa izin Anda.
- Biarkan Google Play Protect tetap aktif sebagai lapisan perlindungan otomatis.
Group-IB dan laporan terkait menekankan bahwa kunci pencegahan adalah kewaspadaan pengguna terhadap tautan dan APK pihak ketiga karena RedHook masih membutuhkan interaksi awal—klik pada situs palsu—untuk masuk ke perangkat.
Google disebut sedang mengerjakan solusi melalui Advanced Protection Mode yang diharapkan dapat mengunci menu Developer options bagi pengguna yang mengaktifkannya, meskipun fitur tersebut belum tersedia saat ini.
Ikuti Ponselio
