Исследователи компании Group-IB проанализировали новую версию мобильной угрозы и заявили, что по сравнению с предыдущим вариантом, описанным в 2025 году, его возможности значительно расширились.
При этом RedHook сохранил функции трояна удалённого доступа (RAT): он может транслировать экран устройства, перехватывать нажатия клавиш, автоматизировать действия в интерфейсе и похищать учётные данные.
Автономное использование Wireless ADB
ADB (Android Debug Bridge) – это интерфейс отладки Google, который позволяет управлять Android-устройством из командной строки. На Android-устройстве система работает в виде фонового процесса ADB daemon и позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.
Wireless ADB, впервые появившийся в Android 11, предоставляет те же возможности по беспроводной сети, без подключения устройств через USB-кабель.
RedHook фактически превращает смартфон в собственный ADB-клиент. Для этого вредонос обманом заставляет жертву предоставить ему разрешения специальных возможностей. Получив их, он автоматически управляет настройками, включает параметры разработчика и активирует беспроводную отладку.
После этого угроза считывает отображаемый на экране код сопряжения и подключается к ADB-службе смартфона через loopback-интерфейс – 127.0.0.1.
После сопряжения RedHook получает привилегии оболочки с идентификатором UID 2000. Они значительно шире возможностей обычных Android-приложений, хотя и не соответствуют root-доступу.

Вся цепочка атаки не требует получения root-прав, поэтому может работать на любых Android-устройствах, если злоумышленникам удастся убедить пользователя разрешить доступ к службе специальных возможностей.
Затем вредонос развёртывает фреймворк на основе Shizuku, чтобы выполнять команды оболочки, предоставлять себе дополнительные разрешения, изменять защищённые настройки Android, незаметно устанавливать и удалять приложения, а также выполнять различные операции без показа диалоговых окон пользователю.
Shizuku – легитимная утилита для Android, популярная среди опытных пользователей и разработчиков. Для её работы не требуется root-доступ.
RedHook выполняет код Shizuku в рамках своей цепочки атаки и использует его в качестве привилегированного сервера libmx.so, чтобы вызывать защищённые Android API от имени пользователя с UID 2000.
Возможности вредоносной программы
Согласно отчёту Group-IB, текущая версия угрозы поддерживает 53 команды, отправляемые с управляющего сервера. Среди них:
- трансляция экрана и создание снимков;
- имитация нажатий, свайпов, жестов, перетаскивания и долгих нажатий;
- блокировка и разблокировка устройства;
- установка, запуск и удаление приложений;
- сбор контактов, SMS и списка установленных приложений;
- создание оверлеев и поддельных диалогов проверки;
- активация камеры;
- перезагрузка устройства.
Механизмы закрепления в системе
В отчёте отмечается, что RedHook использует сразу несколько механизмов закрепления в системе. Вредоносная программа незаметно воспроизводит звук, чтобы повысить приоритет своего процесса, использует WakeLock для предотвращения перехода процессора в спящий режим, а также запускает две службы, которые перезапускают друг друга при завершении одной из них.
Среди других механизмов – сторожевой таймер, срабатывающий каждые пять минут, автоматический запуск после перезагрузки устройства и установка для параметра oom_score_adj значения -1000. Это снижает вероятность завершения процесса системой при нехватке оперативной памяти.
Распространение и рекомендации
Последняя версия RedHook распространяется с помощью социальной инженерии. Злоумышленники связываются с жертвами через сообщения и телефонные звонки, представляются сотрудниками государственных ведомств или финансовых организаций и направляют пользователей на поддельные сайты Google Play.
Пользователям Android рекомендуют устанавливать приложения только из Google Play, внимательно проверять запрашиваемые при установке разрешения и убедиться, что на устройстве включена Google Play Защита.