O malware RedHook marca uma nova evolução das ameaças contra o Android ao explorar recursos legítimos do próprio sistema para obter um nível de controle que, até pouco tempo atrás, normalmente exigiria acesso root. Em vez de explorar vulnerabilidades complexas do kernel, os criminosos passaram a abusar de funcionalidades criadas para desenvolvedores e usuários avançados, tornando o ataque mais difícil de identificar e extremamente perigoso.
A variante mais recente do RedHook, analisada pela Group-IB, mostra uma mudança importante na estratégia dos operadores do malware. Em vez de depender exclusivamente de permissões tradicionais ou da exploração de falhas de segurança, o trojan convence a própria vítima a conceder privilégios elevados por meio de engenharia social. O resultado é um RAT (Remote Access Trojan) capaz de controlar praticamente todo o dispositivo, comprometendo informações financeiras, mensagens, aplicativos bancários, autenticação em duas etapas e dados pessoais.
O cenário merece atenção porque muitos usuários acreditam que um smartphone só corre risco quando está com root habilitado. O caso do malware RedHook demonstra exatamente o contrário: explorando o ADB sem fio e a ferramenta Shizuku, é possível obter privilégios suficientes para realizar diversas ações avançadas sem modificar o sistema operacional.
Como o RedHook usa o ADB sem fio contra o próprio usuário
Desde o Android 11, o Google introduziu o ADB sem fio (Wireless Android Debug Bridge), permitindo que desenvolvedores conectem seus computadores ao smartphone pela rede local, eliminando a necessidade de um cabo USB para diversas tarefas de depuração.
Em condições normais, trata-se de uma funcionalidade extremamente útil para desenvolvimento, testes e manutenção do sistema. O problema surge quando criminosos convencem o usuário a ativar essa opção durante uma falsa atualização, um suposto procedimento de segurança ou um atendimento técnico fraudulento.
Depois que o ADB sem fio é habilitado, o malware RedHook consegue utilizar essa comunicação para executar comandos privilegiados como se fosse um cliente autorizado. O ataque não quebra a segurança do Android. Em vez disso, ele explora a confiança da vítima para obter acesso legítimo aos recursos de depuração.
Essa abordagem representa uma mudança importante no cenário de ameaças móveis. Em vez de procurar falhas complexas para escalar privilégios, os criminosos exploram funcionalidades oficiais do sistema operacional combinadas com técnicas sofisticadas de engenharia social.

O truque da interface de loopback
Um dos aspectos técnicos mais interessantes da nova variante é o uso da interface de loopback, representada pelo endereço 127.0.0.1.
Em redes de computadores, esse endereço aponta para o próprio dispositivo. Em outras palavras, o smartphone passa a se comunicar consigo mesmo.
Na prática, o malware RedHook transforma o aparelho em seu próprio cliente ADB, estabelecendo uma conexão local que reduz a necessidade de um computador conectado após determinadas etapas do ataque.
Essa técnica torna o comportamento do malware mais discreto e dificulta sua identificação por usuários que esperam ver conexões externas tradicionais durante uma invasão.
Embora o mecanismo seja tecnicamente sofisticado, seu funcionamento depende de permissões concedidas anteriormente pela vítima, reforçando o papel central da engenharia social em toda a cadeia de infecção.
Os privilégios de shell UID 2000
Outro conceito importante é o chamado Shell UID 2000.
No Android, cada processo executa sob um identificador de usuário (UID). O UID 2000 corresponde ao usuário shell, utilizado tradicionalmente pelo ADB para executar comandos administrativos.
Esse nível de acesso não equivale ao root, mas oferece privilégios significativamente superiores aos disponíveis para aplicativos comuns.
Com esses privilégios intermediários, o malware RedHook consegue executar diversas operações sensíveis, incluindo alterações em configurações do sistema, automação de comandos e interação avançada com aplicativos instalados.
Em outras palavras, embora não possua controle absoluto sobre o kernel, o malware obtém permissões suficientes para comprometer seriamente a segurança do dispositivo e da vítima.
Como o malware RedHook transforma o Shizuku em uma arma
O Shizuku é uma ferramenta totalmente legítima e bastante conhecida entre desenvolvedores, entusiastas do Android e usuários avançados.
Seu objetivo é permitir que determinados aplicativos executem comandos utilizando os privilégios do ADB, sem exigir acesso root. Diversos programas de personalização utilizam esse mecanismo para alterar configurações normalmente indisponíveis para aplicativos convencionais.
O problema não está no Shizuku, mas na forma como o malware RedHook passou a explorá-lo.
Segundo a análise técnica, a biblioteca maliciosa libmx.so sequestra essa infraestrutura para executar comandos remotos com privilégios elevados. Em vez de utilizar o Shizuku para personalização ou automação legítima, o malware passa a empregá-lo como um intermediário para controlar praticamente todas as funções importantes do aparelho.
Essa distinção é fundamental. O Shizuku não é um malware nem representa um risco por si só. O perigo surge quando criminosos induzem usuários a conceder permissões que posteriormente são exploradas por código malicioso.
Entre as principais capacidades atribuídas ao malware RedHook, destacam-se:
Esses mecanismos tornam o trojan extremamente resiliente, mantendo sua execução ativa mesmo quando o sistema tenta liberar memória ou reduzir o consumo de energia.
Engenharia social e como se proteger do malware RedHook
Apesar do elevado nível técnico do ataque, a principal porta de entrada continua sendo a engenharia social.
Os criminosos investem em campanhas cuidadosamente planejadas para convencer a vítima a instalar aplicativos falsos ou alterar configurações importantes do Android.
Os golpes normalmente utilizam:
- Lojas falsas que imitam a Google Play;
- APKs distribuídos por mensagens ou redes sociais;
- Falsas centrais de atendimento bancário;
- Mensagens em nome de órgãos governamentais;
- Ligações telefônicas solicitando “procedimentos de segurança”;
- Aplicativos supostamente necessários para atualizar serviços financeiros.
Durante esse processo, o usuário é orientado a ativar recursos como Serviços de Acessibilidade, ADB sem fio ou conceder permissões avançadas ao aplicativo malicioso.
É justamente essa sequência de ações que permite ao malware RedHook assumir o controle do dispositivo.
Para reduzir significativamente o risco de infecção, algumas medidas são essenciais:
- Nunca habilite o ADB sem fio por orientação de desconhecidos.
- Desconfie de qualquer aplicativo que solicite ativação dos Serviços de Acessibilidade sem uma justificativa clara.
- Mantenha o Google Play Protect ativado, pois ele identifica diversas ameaças conhecidas.
- Evite instalar APKs obtidos fora da loja oficial do Google.
- Mantenha o Android atualizado, já que novas versões reforçam mecanismos de proteção.
- Verifique cuidadosamente qualquer ligação ou mensagem que solicite alterações nas configurações do aparelho.
- Revogue imediatamente permissões incomuns caso tenha autorizado algum aplicativo suspeito.
A principal lição deixada pelo malware RedHook é que a segurança do Android não depende apenas da ausência de vulnerabilidades técnicas. Cada vez mais, os criminosos procuram convencer o próprio usuário a abrir as portas do sistema utilizando ferramentas legítimas e recursos oficiais.
Por isso, compreender como funcionam tecnologias como ADB sem fio e Shizuku é tão importante quanto manter o smartphone atualizado. Elas continuam sendo ferramentas extremamente úteis quando utilizadas corretamente, mas podem se transformar em instrumentos perigosos nas mãos de criminosos especializados em engenharia social.
Se este alerta foi útil, compartilhe-o com amigos e familiares que utilizam Android. A informação continua sendo uma das defesas mais eficazes contra golpes digitais cada vez mais sofisticados.