🔍 Contexte

Publié le 9 juillet 2026 par Group-IB, cet article présente une analyse technique approfondie de RedHook, un Remote Access Trojan (RAT) Android réapparu avec des capacités significativement améliorées. RedHook avait été documenté pour la première fois par Cyble en juillet 2025.

🎯 Distribution et ciblage

RedHook se distribue via ingénierie sociale : les victimes sont contactées par téléphone ou via des applications de messagerie (notamment Zalo), puis redirigées vers des faux sites imitant le Google Play Store ou des portails gouvernementaux/financiers. Les APK malveillants sont hébergés sur des infrastructures légitimes (GitHub, Amazon S3) pour contourner les filtres de réputation.

  • Ciblage initial : Vietnam
  • Extension récente : Indonésie
  • Secteurs visés : gouvernement, services financiers

⚙️ Capacités techniques clés

Abus de privilèges via ADB Wireless Debugging :

  • Le malware active automatiquement les Options développeur et le débogage sans fil ADB via l’Accessibility Service
  • Il embarque son propre client ADB et se connecte au daemon local via loopback (127.0.0.1)
  • Lance le processus serveur privilégié libmx.so sous uid 2000 (shell)
  • Utilise le framework Shizuku pour accéder aux APIs système protégées via Binder IPC
  • Capacités obtenues : installation/désinstallation silencieuse d’apps, modification de Settings.Secure, octroi de permissions runtime, capture d’événements tactiles bas niveau

Stack de persistance multicouche :

  • Activité 1×1 pixel pour simuler un processus foreground
  • Audio silencieux via MediaSession
  • WakeLock dans un service foreground
  • Mécanisme de résurrection croisée entre deux services via bindService() + BIND_AUTO_CREATE
  • Alarme toutes les 5 minutes pour vérifier et relancer les services
  • Récepteur BOOT_COMPLETED pour restaurer les privilèges ADB après redémarrage
  • Ajustement du score OOM à -1000 (/proc/<pid>/oom_score_adj)
  • mlock() pour épingler des pages mémoire en RAM physique

Infrastructure C2 :

  • WebSocket pour les commandes et le streaming d’écran
  • RTMP (via uid 2000, contournant MediaProjection) pour le streaming parallèle
  • REST API pour les données volumineuses
  • 53 commandes serveur distinctes
  • Endpoints REST : /auth/login, /file/upload, /member/info/addDevice, /member/info/addDevicePassword, /member/info/addsKeyboardInput, /member/info/addMessage

📋 IOCs

  • SHA256 : 453333bffdd1850ea2e0647f7c805530b578919978a01b1e2be52d6eb2add946
  • Domaines C2 : api.3n7wj[.]com, skt.3n7wj[.]com, sktv.3n7wj[.]com
  • Fichier : libmx.so

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par Group-IB dans le cadre de sa veille Threat Intelligence, visant à documenter les TTPs de RedHook et à fournir des IOCs exploitables aux équipes de sécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1476 — Deliver Malicious App via Other Means (Initial Access)
  • T1444 — Masquerade as Legitimate Application (Defense Evasion)
  • T1418 — Software Discovery (Discovery)
  • T1517 — Access Notifications (Collection)
  • T1513 — Screen Capture (Collection)
  • T1417 — Input Capture (Collection)
  • T1409 — Access Stored Application Data (Collection)
  • T1437 — Application Layer Protocol (Command and Control)
  • T1521 — Encrypted Channel (Command and Control)
  • T1398 — Boot or Logon Initialization Scripts (Persistence)
  • T1624.001 — Event Triggered Execution: Broadcast Receivers (Persistence)
  • T1626 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1406 — Obfuscated Files or Information (Defense Evasion)
  • T1582 — SMS Control (Collection)
  • T1412 — Capture SMS Messages (Collection)

IOC

Malware / Outils

  • RedHook (rat)
  • Shizuku (tool)

🟢 Indice de vérification factuelle : 90/100 (haute)

  • ✅ group-ib.com — source reconnue (liste interne) (20pts)
  • ✅ 18723 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs dont des hashes (15pts)
  • ✅ 3/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
  • ✅ 15 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • api.3n7wj.com (domain) → VT (6/91 détections)
  • skt.3n7wj.com (domain) → VT (8/91 détections)
  • sktv.3n7wj.com (domain) → VT (3/91 détections)

🔗 Source originale : https://www.group-ib.com/blog/redhook-android-rat-upgraded/