Tim peneliti keamanan dari Group-IB baru-baru ini mengungkap pembaruan signifikan dari Android Remote Access Trojan (RAT) bernama RedHook yang pertama kali didokumentasikan oleh Cyble pada Juli 2025. RedHook versi terbaru ini telah mengalami evolusi yang sangat substansial, dengan kemampuan baru yang menjadikannya salah satu Android malware paling berbahaya yang pernah terdeteksi. Yang paling mencolok dari pembaruan ini adalah penyalahgunaan ADB (Android Debug Bridge) Wireless Debugging untuk memperoleh shell-level access (uid 2000) dan integrasi framework Shizuku untuk mengeksekusi protected system APIs — dua teknik privilege escalation yang sebelumnya jarang ditemukan dalam malware mainstream.
Mekanisme penyalahgunaan ADB Wireless Debugging RedHook merupakan inovasi teknis yang sangat mengkhawatirkan. RedHook mengotomasi proses aktivasi ADB Wireless Debugging melalui Accessibility Service, kemudian menginisasi koneksi ke daemon ADB lokal perangkat. Yang membuat teknik ini sangat canggih adalah RedHook menyertakan klien ADB-nya sendiri yang menghubungkan ke daemon ADB perangkat sendiri melalui loopback address (127.0.0.1). Dengan cara ini, RedHook mendapatkan akses shell dengan uid 2000 — level privilege yang jauh lebih tinggi dari aplikasi biasa yang berjalan dengan uid aplikasi unik. Shell access ini memungkinkan RedHook untuk menjalankan command sistem yang secara normal hanya tersedia untuk developer atau adb shell user.
Integrasi Shizuku framework menambahkan dimensi baru yang sangat berbahaya dalam kemampuan privilege escalation RedHook. Shizuku adalah framework open-source yang dirancang untuk memudahkan pengembang mengakses system APIs yang memerlukan elevated privilege tanpa harus membuat aplikasi berjalan sebagai system app. Dalam konteks malware, Shizuku memungkinkan RedHook untuk mengeksekusi protected system APIs yang secara normal dibatasi oleh sandboxing Android — termasuk operasi yang memerlukan permission spesifik yang tidak bisa dimiliki oleh aplikasi biasa. Kombinasi akses shell ADB (uid 2000) dan Shizuku API execution memberikan RedHook kontrol atas sistem yang setara dengan — atau bahkan melebihi — beberapa sistem app bawaan pabrikan.
Evolusi target geografis RedHook menunjukkan pola ekspansi yang strategis dari Vietnam ke Indonesia, dengan fokus yang semakin kuat di kawasan Asia Tenggara. RedHook pertama kali menarget pengguna di Vietnam, namun pembaruan terbaru memperluas operasinya secara signifikan ke Indonesia — salah satu pasar mobile terbesar di dunia dengan lebih dari 200 juta pengguna aktif. Peralihan target ini mengindikasikan bahwa operator RedHook telah mengidentifikasi Indonesia sebagai pasar yang menguntungkan berbasis jumlah pengguna yang besar dan tingkat literasi keamanan siber yang masih perlu ditingkatkan di kalangan pengguna mobile awam.
Distribusi RedHook dilakukan melalui situs web yang meniru pemerintah dan lembaga keuangan — teknik social engineering yang sangat efektif di Indonesia di mana kepercayaan terhadap institusi pemerintah masih cukup tinggi. Korban yang mengunjungi situs palsu ini akan diarahkan untuk mengunduh aplikasi yang seharusnya merupakan aplikasi resmi dari instansi pemerintah atau bank, namun sebenarnya merupakan APK yang sudah dimodifikasi untuk mengandung payload RedHook. Strategi distribusi ini, dikombinasikan dengan teknik privilege escalation ADB dan Shizuku, menciptakan infection chain yang sangat sulit dideteksi dan dihentikan oleh pengguna awam maupun solusi keamanan mobile konvensional.
Infrastructure distribusi payload RedHook memanfaatkan GitHub dan AWS S3 buckets sebagai platform hosting — dua layanan cloud yang memiliki reputasi tinggi dan jarang diblokir oleh sistem keamanan jaringan. Dengan menggunakan GitHub repository dan S3 buckets untuk menghosting payload APK, operator RedHook memanfaatkan trust yang melekat pada domain-domain ini untuk melewati filtering URL dan reputasi domain yang biasanya dilakukan oleh firewall dan proxy. Teknik ini juga mempersulit upaya takedown karena payload bisa dimigrasikan antar repository atau bucket dengan cepat, dan layanan-layanan ini memiliki jutaan pengguna legitimate sehingga malicious activity sulit dibedakan secara otomatis.
RedHook versi terbaru mendukung 53 distinct server-issued command yang mencakup spektrum kemampuan yang sangat luas dari surveillance hingga manipulasi sistem. Command-command ini dikeluarkan oleh server C2 dan dieksekusi oleh RedHook di perangkat target, memberikan penyerang kontrol komprehensif terhadap setiap aspek perangkat. Dari akses file system hingga manipulasi jaringan, dari pengambilan data hingga modifikasi sistem — setiap command dirancang untuk fungsi spesifik dalam operasi spionase atau kontrol jarak jauh. Jumlah command yang terus bertambah dari versi sebelumnya menunjukkan bahwa pengembangan RedHook dilakukan secara aktif dan berkelanjutan oleh tim developer yang terstruktur.
Salah satu komponen paling canggih dalam arsitektur RedHook adalah embedded privileged server bernama libmx.so yang berjalan di bawah shell uid 2000. Server ini diluncurkan oleh RedHook setelah mendapatkan akses shell melalui ADB dan berfungsi sebagai daemon permanen yang menjalankan operasi-operasi privileged. libmx.so memberikan dirinya sendiri permission WRITE_SECURE_SETTINGS — permission yang secara normal hanya dimiliki oleh sistem atau shell access — yang memungkinkan modifikasi pengaturan keamanan sistem Android secara langsung. Dengan permission ini, RedHook bisa menonaktifkan fitur keamanan, memodifikasi konfigurasi sistem, atau mengubah pengaturan jaringan tanpa memerlukan root access.
RedHook menampilkan OEM-specific routines yang dirancang khusus untuk mengatasi karakteristik keamanan yang berbeda dari masing-masing manufacturer — termasuk Google, Huawei, Meizu, Oppo, Samsung, Vivo, dan Xiaomi. Setiap OEM memiliki implementasi keamanan yang berbeda, seperti Samsung Knox, Xiaomi MIUI Security, Oppo ColorOS Guard, dan Huawei EMUI Security. RedHook mendeteksi OEM perangkat target dan mengaktifkan routine spesifik yang dirancang untuk melewati pertahanan khas dari manufacturer tersebut. Pendekatan OEM-specific ini menunjukkan pemahaman mendalam tentang fragmentasi ekosistem Android dan komitmen operator RedHook untuk memaksimalkan success rate infeksi di berbagai perangkat.
Sistem persistensi multi-layer RedHook merupakan yang paling agresif dan kompleks yang pernah didokumentasikan dalam malware Android. Layer pertama adalah aktivitas 1×1 pixel yang berjalan di background tanpa menampilkan apa pun di layar. Layer kedua adalah audio playback sunyi yang memastikan proses tetap aktif di foreground service. Layer ketiga menggunakan WakeLock untuk mencegah CPU dari sleep mode. Layer keempat adalah cross-process binding yang memastikan satu service bisa restart service lain jika salah satunya terbunuh. Layer kelima memanfaatkan BOOT_COMPLETED receiver untuk otomatis restart setelah reboot. Layer keenam mengatur OOM (Out-of-Memory) score ke -1000 — skor paling prioritas — untuk memastikan Android tidak pernah membunuh proses RedHook meskipun dalam kondisi memory pressure. Layer ketujuh menggunakan mlock() untuk mengunci halaman memori ke RAM dan mencegahnya dari being swapped ke disk. Kombinasi ketujuh layer persistensi ini menjadikan RedHook hampir mustahil untuk dihilangkan tanpa factory reset atau intervensi forensik yang mendalam.
Komunikasi C2 (Command and Control) RedHook menggunakan WebSocket yang dikombinasikan dengan REST API untuk data exfiltration — arsitektur modern yang memberikan beberapa keunggulan signifikan. WebSocket menyediakan komunikasi real-time persistent antara perangkat dan server C2 dengan overhead yang sangat rendah, memungkinkan command dikirim dan dieksekusi hampir secara instan. REST API yang terpisah digunakan untuk pengiriman data curian dalam batch — menawarkan throughput yang lebih tinggi dan reliability yang lebih baik untuk transfer volume data besar. Pemisahan channel komunikasi dan data ini juga mempersulit analisis network karena traffic WebSocket dan REST API masing-masing terlihat seperti legitimate web traffic.
Kemampuan screen streaming RedHook layak mendapat perhatian khusus karena menggunakan dua metode paralel untuk memastikan kompatibilitas dan redundancy. Metode pertama adalah screen streaming via WebSocket yang menawarkan latency rendah namun memerlukan MediaProjection API yang menampilkan notifikasi kepada pengguna. Metode kedua adalah streaming via RTMP (Real-Time Messaging Protocol) yang mampu melewati consent MediaProjection — artinya RedHook bisa melakukan screen streaming tanpa ada notifikasi yang muncul di perangkat korban. Kemampuan RTMP streaming tanpa consent merupakan exploit dari vulnerability atau misconfiguration dalam implementasi media projection di beberapa OEM, dan menunjukkan kedalaman research operator RedHook dalam memahami weakness spesifik platform Android.
Analisa Retasan
RedHook merepresentasikan evolusi paling berbahaya dalam Android malware tahun 2026 — dari sekadar RAT yang mengandalkan Accessibility Service menjadi platform multi-layer privilege escalation yang memanfaatkan ADB Wireless Debugging dan Shizuku framework. Kombinasi shell-level access (uid 2000), WRITE_SECURE_SETTINGS permission, 7-layer persistence, dan OEM-specific bypass routines menjadikan RedHook hampir impossible untuk dihilangkan dari perangkat tanpa factory reset. Untuk pengguna Android di Indonesia yang menjadi target eksplisit RedHook, kewaspadaan terhadap aplikasi dari sumber tidak resmi harus ditingkatkan secara drastis.
Dari perspektif pertahanan, organisasi keamanan siber di Indonesia perlu mengembangkan capability untuk mendeteksi aktivitas ADB Wireless Debugging yang tidak biasa dan penggunaan Shizuku framework oleh aplikasi non-development. OEM dan Google juga harus dievaluasi untuk memperkuat consent mechanism pada MediaProjection API agar tidak bisa di-bypass oleh malware seperti RedHook. Sementara itu, MDM (Mobile Device Management) solution harus dikonfigurasi untuk memonitors dan memblokir aktivasi ADB Wireless Debugging pada perangkat enterprise, serta memberikan alert terhadap perubahan OOM score atau aktivitas mlock() yang tidak lazim. Kombinasi teknik deteksi ini, bersama dengan edukasi pengguna, menjadi pertahanan paling realistis melawan ancaman RedHook di ekosistem Indonesia.
Sumber: Group-IB – RedHook Android RAT Upgraded | Tags: RedHook, ADB, Shizuku, Android RAT, Privilege Abuse