Forskere har identifisert en ny versjon av RedHook-skadevare som misbruker Androids Wireless Debugging-funksjon for å oppnå shell-tilgang uten å kreve en USB-tilkobling eller en rootet enhet.
Den oppdaterte skadevaren bygger videre på tidligere versjoner ved å kombinere misbruk av Wireless Android Debug Bridge (ADB) med de eksisterende funksjonene for ekstern tilgang. Som et resultat kan angripere få langt større kontroll over infiserte enheter.
Skadevare utnytter Wireless ADB
Android Debug Bridge (ADB) er Googles feilsøkingsgrensesnitt som lar utviklere kjøre kommandoer på Android-enheter.
Wireless ADB, som ble introdusert i Android 11, tilbyr den samme funksjonaliteten uten behov for en USB-kabel.
Den nyeste RedHook-skadevaren lurer brukere til å gi tillatelser til Accessibility Service. Når tillatelsen er gitt, navigerer skadevaren automatisk gjennom Android-innstillingene, aktiverer Developer Options og slår på Wireless Debugging.
Deretter leser den sammenkoblingskoden som vises på skjermen og kobler seg til enhetens ADB-tjeneste via det lokale loopback-grensesnittet.
Denne prosessen gir skadevaren shell-tilgang (UID 2000), noe som gir betydelig mer tilgang enn en vanlig Android-app uten at det kreves root-tilgang.
Shizuku utvider skadevarens muligheter
Etter å ha oppnådd shell-tilgang distribuerer RedHook et rammeverk basert på Shizuku, et legitimt Android-verktøy som ofte brukes av utviklere og avanserte brukere.
Skadevaren misbruker Shizuku til å kjøre privilegerte shell-kommandoer og få tilgang til beskyttede Android-API-er.
Dette gjør det mulig for angripere å gi seg selv flere tillatelser, endre beskyttede systeminnstillinger, installere eller fjerne apper i stillhet og utføre andre privilegerte operasjoner uten å vise bekreftelsesdialoger.
Funksjonene for ekstern tilgang fortsetter å vokse
Forskerne opplyser at den nyeste RedHook-skadevaren støtter 53 kommandoer sendt fra dens command-and-control-server.
Disse funksjonene omfatter:
- Strømming av enhetens skjerm og skjermbilder
- Simulering av trykk, sveip, bevegelser, langt trykk og drahandlinger
- Låsing og opplåsing av enheten
- Installering, oppstart og avinstallering av apper
- Innsamling av kontakter, SMS-meldinger og informasjon om installerte apper
- Visning av falske overlegg og verifiseringsdialoger
- Aktivering av enhetens kamera
- Omstart av enheten
Sammen med de utvidede privilegiene gir disse funksjonene angripere omfattende kontroll over kompromitterte telefoner.
Skadevaren bruker flere persistensmekanismer
Den oppdaterte skadevaren inneholder også flere mekanismer som er utviklet for å forbli aktiv på infiserte enheter.
Den spiller av lyd uten hørbar lyd for å øke prosessprioriteten og bruker WakeLocks for å hindre at prosessoren går i hvilemodus. To bakgrunnstjenester starter kontinuerlig hverandre på nytt dersom én av dem avsluttes.
Andre persistensmekanismer omfatter en watchdog-timer som kjører hvert femte minutt, automatisk oppstart etter omstart av enheten og justeringer av minnehåndteringen som reduserer sannsynligheten for at skadevaren blir avsluttet når systemressursene er lave.
Brukere lures via falske appnedlastinger
Forskerne opplyser at angripere sprer den nyeste RedHook-skadevaren gjennom sosial manipulering.
Ofrene mottar telefonsamtaler eller meldinger fra svindlere som utgir seg for å representere offentlige myndigheter eller finansinstitusjoner. Deretter blir de sendt til falske Google Play-nettsteder der de laster ned den skadelige appen.
Android-brukere bør kun installere apper fra den offisielle Google Play Store, kontrollere forespurte tillatelser nøye før de godkjennes og sørge for at Google Play Protect er aktivert for å bidra til å oppdage skadevare.


0 responses to “RedHook-skadevare bruker Wireless ADB for å få kraftig shell-tilgang på Android”