Троян RedHook обходит ограничения Android с помощью беспроводной отладки ADB

2026-07-13 305 комментарии
Исследователи Group-IB обнаружили новую версию Android-вредоноса RedHook, которая использует беспроводную отладку Wireless ADB для получения привилегий командной оболочки без root-доступа и подключения к компьютеру
Новая версия Android-вредоноса RedHook необычным образом злоупотребляет механизмом беспроводной отладки Android – Wireless ADB, чтобы получить привилегии на уровне командной оболочки без подключения к компьютеру.

Исследователи компании Group-IB проанализировали новую версию мобильной угрозы и заявили, что по сравнению с предыдущим вариантом, описанным в 2025 году, его возможности значительно расширились.

При этом RedHook сохранил функции трояна удалённого доступа (RAT): он может транслировать экран устройства, перехватывать нажатия клавиш, автоматизировать действия в интерфейсе и похищать учётные данные.

Автономное использование Wireless ADB

ADB (Android Debug Bridge) – это интерфейс отладки Google, который позволяет управлять Android-устройством из командной строки. На Android-устройстве система работает в виде фонового процесса ADB daemon и позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.

Wireless ADB, впервые появившийся в Android 11, предоставляет те же возможности по беспроводной сети, без подключения устройств через USB-кабель.

RedHook фактически превращает смартфон в собственный ADB-клиент. Для этого вредонос обманом заставляет жертву предоставить ему разрешения специальных возможностей. Получив их, он автоматически управляет настройками, включает параметры разработчика и активирует беспроводную отладку.

После этого угроза считывает отображаемый на экране код сопряжения и подключается к ADB-службе смартфона через loopback-интерфейс – 127.0.0.1.

После сопряжения RedHook получает привилегии оболочки с идентификатором UID 2000. Они значительно шире возможностей обычных Android-приложений, хотя и не соответствуют root-доступу.

Цепочка атаки RedHook. Источник: Group-IB

Вся цепочка атаки не требует получения root-прав, поэтому может работать на любых Android-устройствах, если злоумышленникам удастся убедить пользователя разрешить доступ к службе специальных возможностей.

Затем вредонос развёртывает фреймворк на основе Shizuku, чтобы выполнять команды оболочки, предоставлять себе дополнительные разрешения, изменять защищённые настройки Android, незаметно устанавливать и удалять приложения, а также выполнять различные операции без показа диалоговых окон пользователю.

Shizuku – легитимная утилита для Android, популярная среди опытных пользователей и разработчиков. Для её работы не требуется root-доступ.

RedHook выполняет код Shizuku в рамках своей цепочки атаки и использует его в качестве привилегированного сервера libmx.so, чтобы вызывать защищённые Android API от имени пользователя с UID 2000.

Возможности вредоносной программы

Согласно отчёту Group-IB, текущая версия угрозы поддерживает 53 команды, отправляемые с управляющего сервера. Среди них:

  • трансляция экрана и создание снимков;
  • имитация нажатий, свайпов, жестов, перетаскивания и долгих нажатий;
  • блокировка и разблокировка устройства;
  • установка, запуск и удаление приложений;
  • сбор контактов, SMS и списка установленных приложений;
  • создание оверлеев и поддельных диалогов проверки;
  • активация камеры;
  • перезагрузка устройства.

Механизмы закрепления в системе

В отчёте отмечается, что RedHook использует сразу несколько механизмов закрепления в системе. Вредоносная программа незаметно воспроизводит звук, чтобы повысить приоритет своего процесса, использует WakeLock для предотвращения перехода процессора в спящий режим, а также запускает две службы, которые перезапускают друг друга при завершении одной из них.

Среди других механизмов – сторожевой таймер, срабатывающий каждые пять минут, автоматический запуск после перезагрузки устройства и установка для параметра oom_score_adj значения -1000. Это снижает вероятность завершения процесса системой при нехватке оперативной памяти.

Распространение и рекомендации

Последняя версия RedHook распространяется с помощью социальной инженерии. Злоумышленники связываются с жертвами через сообщения и телефонные звонки, представляются сотрудниками государственных ведомств или финансовых организаций и направляют пользователей на поддельные сайты Google Play.

Пользователям Android рекомендуют устанавливать приложения только из Google Play, внимательно проверять запрашиваемые при установке разрешения и убедиться, что на устройстве включена Google Play Защита.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте