🔍 Contexte
Publié le 9 juillet 2026 par Group-IB, cet article présente une analyse technique approfondie de RedHook, un Remote Access Trojan (RAT) Android réapparu avec des capacités significativement améliorées. RedHook avait été documenté pour la première fois par Cyble en juillet 2025.
🎯 Distribution et ciblage
RedHook se distribue via ingénierie sociale : les victimes sont contactées par téléphone ou via des applications de messagerie (notamment Zalo), puis redirigées vers des faux sites imitant le Google Play Store ou des portails gouvernementaux/financiers. Les APK malveillants sont hébergés sur des infrastructures légitimes (GitHub, Amazon S3) pour contourner les filtres de réputation.
- Ciblage initial : Vietnam
- Extension récente : Indonésie
- Secteurs visés : gouvernement, services financiers
⚙️ Capacités techniques clés
Abus de privilèges via ADB Wireless Debugging :
- Le malware active automatiquement les Options développeur et le débogage sans fil ADB via l’Accessibility Service
- Il embarque son propre client ADB et se connecte au daemon local via loopback (127.0.0.1)
- Lance le processus serveur privilégié libmx.so sous uid 2000 (shell)
- Utilise le framework Shizuku pour accéder aux APIs système protégées via Binder IPC
- Capacités obtenues : installation/désinstallation silencieuse d’apps, modification de
Settings.Secure, octroi de permissions runtime, capture d’événements tactiles bas niveau
Stack de persistance multicouche :
- Activité 1×1 pixel pour simuler un processus foreground
- Audio silencieux via MediaSession
- WakeLock dans un service foreground
- Mécanisme de résurrection croisée entre deux services via
bindService()+BIND_AUTO_CREATE - Alarme toutes les 5 minutes pour vérifier et relancer les services
- Récepteur BOOT_COMPLETED pour restaurer les privilèges ADB après redémarrage
- Ajustement du score OOM à -1000 (
/proc/<pid>/oom_score_adj) - mlock() pour épingler des pages mémoire en RAM physique
Infrastructure C2 :
- WebSocket pour les commandes et le streaming d’écran
- RTMP (via uid 2000, contournant MediaProjection) pour le streaming parallèle
- REST API pour les données volumineuses
- 53 commandes serveur distinctes
- Endpoints REST :
/auth/login,/file/upload,/member/info/addDevice,/member/info/addDevicePassword,/member/info/addsKeyboardInput,/member/info/addMessage
📋 IOCs
- SHA256 :
453333bffdd1850ea2e0647f7c805530b578919978a01b1e2be52d6eb2add946 - Domaines C2 :
api.3n7wj[.]com,skt.3n7wj[.]com,sktv.3n7wj[.]com - Fichier :
libmx.so
📄 Nature de l’article
Il s’agit d’une analyse technique publiée par Group-IB dans le cadre de sa veille Threat Intelligence, visant à documenter les TTPs de RedHook et à fournir des IOCs exploitables aux équipes de sécurité.
🧠 TTPs et IOCs détectés
TTP
- T1476 — Deliver Malicious App via Other Means (Initial Access)
- T1444 — Masquerade as Legitimate Application (Defense Evasion)
- T1418 — Software Discovery (Discovery)
- T1517 — Access Notifications (Collection)
- T1513 — Screen Capture (Collection)
- T1417 — Input Capture (Collection)
- T1409 — Access Stored Application Data (Collection)
- T1437 — Application Layer Protocol (Command and Control)
- T1521 — Encrypted Channel (Command and Control)
- T1398 — Boot or Logon Initialization Scripts (Persistence)
- T1624.001 — Event Triggered Execution: Broadcast Receivers (Persistence)
- T1626 — Abuse Elevation Control Mechanism (Privilege Escalation)
- T1406 — Obfuscated Files or Information (Defense Evasion)
- T1582 — SMS Control (Collection)
- T1412 — Capture SMS Messages (Collection)
IOC
- Domaines :
api.3n7wj.com— VT · URLhaus · ThreatFox - Domaines :
skt.3n7wj.com— VT · URLhaus · ThreatFox - Domaines :
sktv.3n7wj.com— VT · URLhaus · ThreatFox - URLs :
https://api.3n7wj.com— URLhaus - URLs :
wss://skt.3n7wj.com— URLhaus - URLs :
wss://sktv.3n7wj.com— URLhaus - SHA256 :
453333bffdd1850ea2e0647f7c805530b578919978a01b1e2be52d6eb2add946— VT · MalwareBazaar - Fichiers :
libmx.so
Malware / Outils
- RedHook (rat)
- Shizuku (tool)
🟢 Indice de vérification factuelle : 90/100 (haute)
- ✅ group-ib.com — source reconnue (liste interne) (20pts)
- ✅ 18723 chars — texte complet (fulltext extrait) (15pts)
- ✅ 8 IOCs dont des hashes (15pts)
- ✅ 3/7 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
- ✅ 15 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
api.3n7wj.com(domain) → VT (6/91 détections)skt.3n7wj.com(domain) → VT (8/91 détections)sktv.3n7wj.com(domain) → VT (3/91 détections)
🔗 Source originale : https://www.group-ib.com/blog/redhook-android-rat-upgraded/