RedHook Android 恶意软件新版本利用 Wireless ADB 获取 Shell 访问权限
- 浏览次数 33
- 喜欢 0
RedHook Android 恶意软件的新版本以一种新颖的方式滥用了 Android 无线调试(Wireless ADB)机制,无需连接电脑即可获取 shell 级权限。
网络安全公司 Group-IB 的研究人员分析了该移动恶意软件的新版本,并表示与 2025 年记录的先前版本相比,其功能显著扩展。
同时,该恶意软件保留了其远程访问木马(RAT)功能,能够进行屏幕直播、拦截按键输入、自动化 UI 交互以及窃取凭证。
自主滥用 Wireless ADB
ADB(Android Debug Bridge)是 Google 的调试接口,允许用户通过命令行控制 Android 设备。
该系统以 ADB 守护进程的形式在 Android 设备上运行,使得从运行 ADB 客户端的电脑上能够执行 shell 命令。
Wireless ADB 首次在 Android 11 中引入,提供了相同的无线能力,无需通过 USB 线缆连接设备。
RedHook 通过诱骗受害者授予其 Accessibility(无障碍)权限,将手机本身变成了自己的 ADB 客户端。该权限使其能够自动操作设置、启用开发者选项并激活无线调试。
之后,恶意软件会检索屏幕上显示的配对码,并通过回环接口(127.0.0.1)连接到手机的 ADB 服务。
配对成功后,恶意软件获得 shell(UID 2000)权限,该权限比普通 Android 应用可获得的权限强大得多,但尚未达到 root 级别。
整个攻击链不需要设备已 root,因此只要用户被诱骗批准了 Accessibility Service 权限请求,它就能在所有 Android 设备上运行。
接下来,恶意软件部署一个基于 Shizuku 的框架来执行 shell 命令、授予自身额外权限、修改受保护的 Android 设置、静默安装或删除应用,以及在无需显示用户对话框的情况下执行各种操作。
Shizuku 是一款在高级用户和开发者中流行的合法 Android 工具,不需要设备已 root。
RedHook 在其攻击链中执行 Shizuku 代码,将其用作特权服务器(libmx.so),以 UID 2000 的身份调用特权 Android API。
攻击链
据 Group-IB 的报告称,该恶意软件的当前版本支持 53 条服务器下发的命令,包括:
- 屏幕直播和截图捕获
- 模拟点击、滑动、手势、拖拽和长按
- 设备锁定/解锁
- 安装、启动和卸载应用
- 收集联系人、短信和应用信息
- 创建覆盖层或虚假验证对话框
- 激活摄像头
- 重启设备
Group-IB 的报告还强调了该恶意软件的多种持久化机制。
RedHook 使用静默音频播放来提高进程优先级,使用 WakeLock 来防止 CPU 休眠,并设置两个服务在其中一个被终止时相互重启。
其他机制包括五分钟的 watchdog 警报、设备启动后自动重启,以及将 oom_score_adj 设置为 -1000,以降低系统内存不足时被终止的可能性。
最新版本的 RedHook 通过社会工程学方式进行传播,攻击者通过短信和电话冒充政府机构或金融机构,引导受害者访问伪造的 Google Play 网站。
建议 Android 用户仅从 Google Play 安装应用,在安装时仔细审查所请求的权限,并确保设备上的 Play Protect 处于激活状态。