RedHook научился получать shell-доступ на Android через Wireless ADB

Group-IB описала обновлённую версию Android-трояна удалённого доступа RedHook, которая злоупотребляет Wireless ADB и получает shell-привилегии на устройстве без подключения к компьютеру. Вредонос распространяется через социальную инженерию и поддельные сайты, имитирующие государственные и финансовые сервисы; недавняя активность вышла за пределы Вьетнама и затронула Индонезию.

Компания Group-IB, специализирующаяся на кибербезопасности, 9 июля опубликовала исследование новой версии Android-трояна удалённого доступа RedHook. Вредонос сохраняет типичные функции RAT — трансляцию экрана, перехват нажатий, автоматизацию действий в интерфейсе и кражу данных, — но теперь автоматизирует включение Developer Options и Wireless Debugging через выданный ему Accessibility Service и получает shell-привилегии Android с UID 2000.

Цепочка получения привилегий RedHook через Accessibility Service и Wireless ADB

Для привилегированного выполнения RedHook использует подход, связанный с Shizuku — популярным инструментом, который позволяет приложениям работать с повышенными правами через ADB. Встроенный ADB-клиент подключается к локальному ADB-демону через 127.0.0.1, после чего запускается сервер libmx.so с правами shell; это позволяет трояну выдавать себе разрешения, менять защищённые настройки, выполнять команды, устанавливать и удалять приложения без стандартных диалогов подтверждения.

RedHook распространяется через социальную инженерию: злоумышленники связываются с жертвами по телефону или в мессенджерах, выдают себя за доверенные организации и убеждают установить APK с фальшивых сайтов. По данным Group-IB, такие сайты имитируют государственные или финансовые сервисы и внешний вид Google Play, а сами APK могут размещаться на публичной инфраструктуре, включая GitHub и AWS S3.

В новой версии описана многоуровневая схема закрепления: 1×1-пиксельная Activity, тихое воспроизведение звука, WakeLock, взаимный перезапуск двух сервисов, проверка их работы каждые пять минут и автозапуск после перезагрузки. Текущая реализация поддерживает 53 команды сервера управления, включая сбор SMS и контактов, снимки экрана, блокировку и разблокировку устройства, запуск камеры, установку APK и перезагрузку.

Group-IB рекомендует не переходить по подозрительным ссылкам, устанавливать приложения только из официальных магазинов и особенно внимательно относиться к запросам Accessibility Service. Подробности опубликованы в отчёте Group-IB.

Источник: group-ib.com

Связь с редакцией