13 julio 2026

Una nueva versión del ‘malware’ RedHook abusa de Wireless ADB para hacerse con el control de dispositivos Android

Una nueva versión del 'malware' RedHook abusa de Wireless ADB para hacerse con el control de dispositivos Android
Compartir esto:

   MADRID, 13 Jul. –

   Un grupo de investigadores ha identificado una nueva variante del ‘malware’ RedHook, que afecta a usuarios de Android al abusar de la herramienta Wireless ADB, consiguiendo obtener privilegios para controlar dispositivos y obtener acceso remoto, además de robar datos como contraseñas de cuentas bancarias.

   Wireless ADB (Android Debug Bridge) es la herramienta de línea de comandos de Google que facilita conectar dispositivos Android a un ordenador mediante una red WiFi o TCP/IP, en lugar de utilizar una conexión por cable, lo que facilita ejecutar comandos, instalar archivos APK y depurar código de forma remota.

   Es decir, permite controlar dispositivos Android desde un PC, habitualmente para depurar aplicaciones, controlar de forma avanzada el sistema, transferir archivos o actualizar y realizar gestiones de mantenimiento del dispositivo.

   Precisamente esta herramienta está siendo utilizada por actores maliciosos, que abusan de Wireless ADB para conseguir comprometer dispositivos Android mediante una versión modificada del ‘malware’ RedHook.

   Esta nueva versión, ha sido identificada y analizada por los investigadores de ciberseguridad de la compañía Group-IB, que aseguran que «ha resurgido con mejoras significativas», y consigue instalarse en los dispositivos simplemente clicando en enlaces enviados por mensajes de texto, correos electrónicos o cualquier otra red social.

   Para que las posibles víctimas pinchen sobre el enlace malicioso, los ciberdelincuentes suplantan la identidad de personal de soporte o empleados de organizaciones reconocidas, engañando a los usuarios en una técnica de ingeniería social. Así, les convencen de que se descarguen e instalen un archivo APK malicioso desde sitios web falsos, con el pretexto de que son pasos necesarios para acceder al servicio o completar trámites oficiales.

   Estos sitios web falsos están diseñados para imitar la apariencia de tiendas de aplicaciones como Google Play. Además, los archivos APK subyacentes se alojan en infraestructuras de acceso público, como GitHub, para facilitar la distribución del ‘malware’.

   Una vez descargado el archivo APK, los atacantes convencen a las víctimas de que les concedan permisos, basándose en interfaces que imitan la identidad visual de organizaciones reales. Solicitan al usuario que ingrese credenciales, información personal y códigos de seguridad, todo mediante un tutorial guiado, «haciéndoles creer que es un paso necesario para habilitar todas las funciones de la aplicación».

   Es mediante estos permisos concedidos que el ‘malware’ puede habilitar el ADB inalámbrico del dispositivo Android y acceder a las opciones de desarrollador.

   Como han explicado, esta nueva variante de RedHook continúa siendo un troyano de acceso remoto (RAT), por lo que, una vez infectado el dispositivo, los actores maliciosos obtienen permisos para transmitir la pantalla e interceptar pulsaciones de teclas, entre otras cuestiones. Pero esta versión va más allá, al permitir una «sofisticada evolución» hacia «el abuso de privilegios», provocando desde el robo de datos, hasta la vigilancia o cualquier otra vulneración de la seguridad.

   Cabe tener en cuenta que los actores maliciosos llevan a cabo todas estas operaciones de forma prácticamente imperceptible, por lo que las víctimas no son conscientes de la instalación del ‘malware’ RedHook y las posteriores acciones de los actores maliciosos relacionados.

   Además, los investigadores también han subrayado que esta versión es difícil de detener una vez iniciada. Esto se debe a que cuenta con «un mecanismo de resurrección entre procesos y servicios», con lo que cuando se finaliza cualquiera de los procesos, «el servicio superviviente detecta la desconexión e inmediatamente reinicia a su compañero, creando un bucle que requiere que ambos procesos finalicen simultáneamente para romperse.

   Por el momento, el uso de RedHook en dispositivos Android se ha asociado con dispositivos en Vietnam e Indonesia. Igualmente, los investigadores de Group-IB han recomendado descargar aplicaciones siempre desde fuentes oficiales y no clicar sobre enlaces maliciosos, entre otras medidas de seguridad.

CL24