Логотип

Вредоносная программа RedHook для Android теперь использует Wireless ADB для доступа к оболочке

Вредоносная программа RedHook для Android теперь использует Wireless ADB для доступа к оболочке

Новая версия вредоносного приложения RedHook для Android использует механизм беспроводной отладки Android (Wireless ADB) для получения привилегий на уровне командной строки без подключения к компьютеру.

Исследователи из компании Group-IB, специализирующейся на кибербезопасности, проанализировали новую версию мобильного вредоносного ПО и заявили, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, обнаруженным в 2025 году.

В то же время вредоносное ПО сохраняет функции трояна удаленного доступа (RAT), что позволяет ему транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.

 

Автономное беспроводное использование ADB

ADB (Android Debug Bridge) — это интерфейс отладки от Google, который позволяет пользователю управлять Android-устройством из командной строки.

Система, работающая на Android-устройстве в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.

Беспроводной ADB, впервые представленный в Android 11, обеспечивает такую же возможность, но без необходимости подключения устройств через USB-кабель.

RedHook по сути превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему права доступа к специальным возможностям, что позволяет ему автоматически манипулировать настройками, включать параметры разработчика и активировать беспроводную отладку.

После этого вредоносное ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).

После сопряжения вредоносное ПО получает привилегии оболочки (UID 2000), которые значительно превосходят возможности обычных приложений для Android, но не дают root-доступа.

Для всей цепочки атак не требуется рутировать устройство, поэтому она работает на всех устройствах Android, если пользователю удается обманом заставить его подтвердить запрос на разрешение службы специальных возможностей.

Читать  Уязвимость CIFSwitch открывает доступ к локальному корневому каталогу в некоторых дистрибутивах Linux

Затем вредоносное ПО использует фреймворк на основе Shizuku для выполнения команд оболочки, получения дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений и выполнения различных операций без отображения диалоговых окон для пользователя.

Shizuku — это легальная утилита для Android, популярная среди опытных пользователей и разработчиков. Для ее работы не требуется рутированное устройство.

RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android с идентификатором пользователя 2000.

Цепочка вредоносных атак RedHook
Источник: Group-IB

 

Согласно отчету Group-IB, текущая версия вредоносной программы поддерживает 53 команды, отправляемые с сервера, в том числе:

  • Потоковая передача экрана и создание скриншотов
  • Имитация касаний, свайпов, жестов, перетаскивания и длительных нажатий
  • Блокировка/разблокировка устройства
  • Установка, запуск и удаление приложений
  • Сбор контактов, SMS и приложений
  • Создание наложений или поддельных диалоговых окон для подтверждения
  • Активация камеры
  • Перезагрузка устройства

 

В отчете Group-IB также упоминаются многочисленные механизмы сохранения вредоносного ПО.

RedHook использует беззвучное воспроизведение аудио для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим и две службы, которые перезапускают друг друга при завершении работы одной из них.

Среди других механизмов — пятиминутная сигнализация, автоматический перезапуск после загрузки устройства и установка значения oom_score_adj на -1000, чтобы снизить вероятность принудительного завершения работы при нехватке доступной системной памяти.

Последняя версия RedHook распространяется с помощью методов социальной инженерии: через сообщения и телефонные звонки, когда злоумышленники выдают себя за представителей государственных органов или финансовых учреждений, чтобы перенаправить жертв на поддельные сайты Google Play.

Пользователям Android рекомендуется устанавливать приложения только из Google Play, внимательно изучать запрашиваемые разрешения при установке и следить за тем, чтобы на устройстве была включена функция Play Protect.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Редактор: AndreyEx

Рейтинг: 5 (1 голос)
Если статья понравилась, то поделитесь ей в социальных сетях:

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

5 + тринадцать =

Это может быть вам интересно


Спасибо!

Теперь редакторы в курсе.

Прокрутить страницу до начала