— Sebuah varian terbaru trojan perbankan Android, RedHook, ditemukan memiliki peningkatan kemampuan signifikan yang mengancam keamanan pengguna. Malware ini kini bisa menyalahgunakan fitur Wireless Android Debug Bridge (ADB) untuk mendapatkan akses shell dengan hak istimewa tinggi tanpa memerlukan akses root atau koneksi USB ke komputer.

Temuan itu dilaporkan setelah analisis terhadap varian yang sebelumnya pertama kali teridentifikasi pada 2025 sebagai trojan yang memantau layar dan mencatat ketukan tombol. Varian terbaru menunjukkan lompatan kemampuan karena dapat mengambil alih hampir seluruh fungsi perangkat.

Cara Kerja dan Penyebaran

Melansi Ponselio, metode penyebaran RedHook masih mengandalkan rekayasa sosial. Pelaku biasanya menghubungi korban melalui panggilan telepon, SMS, atau aplikasi pesan instan dengan menyamar sebagai petugas bank atau instansi pemerintah. Korban kemudian diarahkan untuk mengunduh file APK dari situs palsu yang menyerupai Google Play Store.

Setelah aplikasi terpasang, malware akan meminta izin Accessibility (Aksesibilitas). Izin inilah yang menjadi kunci bagi RedHook untuk menjalankan aksinya.

Begitu izin aksesibilitas diberikan, RedHook secara otomatis mengaktifkan Opsi Pengembang dan menyalakan Wireless ADB. Malware ini kemudian mengambil kode pemasangan (pairing code) dari layar dan menghubungkan dirinya ke layanan ADB internal perangkat melalui antarmuka loopback (127.0.0.1). Dengan cara ini, RedHook mendapatkan akses shell (UID 2000), sebuah tingkat akses yang jauh lebih tinggi daripada aplikasi biasa, sehingga memberikan kendali yang luas atas sistem.

Fitur Berbahaya yang Didukung

Setelah berhasil memperoleh akses shell, pelaku memiliki kendali sangat luas terhadap perangkat korban. Analisis menyebut varian baru RedHook mendukung setidaknya 53 perintah berbeda yang dapat dijalankan dari jarak jauh. Kemampuan-kemampuan tersebut antara lain:

  1. Melakukan streaming dan mengambil tangkapan layar secara real-time.
  2. Meniru sentuhan dan sapuan pada layar (simulate taps and swipes).
  3. Mengunci dan membuka perangkat dari jarak jauh.
  4. Memasang atau menghapus aplikasi tanpa sepengetahuan pengguna.
  5. Membaca pesan singkat dan daftar kontak.
  6. Mengaktifkan kamera perangkat.

RedHook juga memanfaatkan alat legal bernama Shizuku, yang populer di kalangan pengguna dan pengembang Android, untuk menjalankan perintah tingkat lanjut. Dengan Shizuku, malware ini dapat mengubah pengaturan sistem yang dilindungi, memberikan izin tambahan pada dirinya sendiri, serta melakukan berbagai operasi tanpa menampilkan dialog konfirmasi kepada pengguna.

Perlindungan bagi Pengguna

Google menyediakan mekanisme pertahanan melalui Google Play Protect, yang secara default aktif pada perangkat Android dengan layanan Google Play. Fitur ini dapat memperingatkan atau memblokir instalasi aplikasi berbahaya, bahkan dari sumber luar. Namun, perlindungan ini tidak maksimal jika pengguna secara manual mengabaikan peringatan keamanan dan memberikan izin akses yang berbahaya.

Kewaspadaan pengguna menjadi benteng utama. Beberapa langkah yang dapat diambil untuk melindungi diri dari malware RedHook antara lain:

  1. Instal Aplikasi dari Sumber Resmi: Hanya mengunduh aplikasi dari Google Play Store atau toko aplikasi resmi lainnya.
  2. Waspada Terhadap Penipuan: Jangan mudah percaya pada panggilan, SMS, atau pesan yang mengatasnamakan bank atau instansi pemerintah dan meminta Anda mengunduh aplikasi dari tautan tertentu.
  3. Periksa Izin Aksesibilitas: Jangan pernah memberikan izin aksesibilitas kepada aplikasi yang tidak jelas fungsinya, karena izin ini dapat disalahgunakan oleh malware modern untuk mengambil alih perangkat.
  4. Periksa Opsi Pengembang: Secara berkala, periksa menu Opsi Pengembang di ponsel Anda untuk memastikan fitur Wireless ADB tidak aktif tanpa sepengetahuan Anda.
  5. Pastikan Google Play Protect Aktif: Periksa di aplikasi Google Play Store apakah fitur Google Play Protect dalam status aktif untuk memberikan lapisan perlindungan otomatis.