Forskere har identificeret en ny version af RedHook-malware, som misbruger Androids Wireless Debugging-funktion til at opnå shell-adgang uden at kræve en USB-forbindelse eller en rootet enhed.
Den opdaterede malware bygger videre på tidligere versioner ved at kombinere misbrug af Wireless Android Debug Bridge (ADB) med sine eksisterende funktioner til fjernadgang. Resultatet er, at angribere kan opnå langt større kontrol over inficerede enheder.
Malware udnytter Wireless ADB
Android Debug Bridge (ADB) er Googles fejlfindingsgrænseflade, som gør det muligt for udviklere at udføre kommandoer på Android-enheder.
Wireless ADB, der blev introduceret med Android 11, giver den samme funktionalitet uden behov for et USB-kabel.
Den nyeste RedHook-malware narrer brugerne til at give tilladelse til Accessibility Service. Når tilladelsen er givet, navigerer malwaren automatisk gennem Android-indstillingerne, aktiverer Developer Options og slår Wireless Debugging til.
Derefter aflæser den parringskoden, der vises på skærmen, og opretter forbindelse til enhedens ADB-tjeneste via den lokale loopback-grænseflade.
Denne proces giver malwaren shell-adgang (UID 2000), hvilket giver betydeligt flere rettigheder end en almindelig Android-app uden at kræve root-adgang.
Shizuku udvider malwarets muligheder
Efter at have opnået shell-adgang installerer RedHook et framework baseret på Shizuku, et legitimt Android-værktøj, som ofte anvendes af udviklere og avancerede brugere.
Malwaren misbruger Shizuku til at udføre privilegerede shell-kommandoer og få adgang til beskyttede Android-API’er.
Det gør det muligt for angribere at tildele sig selv ekstra tilladelser, ændre beskyttede systemindstillinger, installere eller fjerne apps lydløst og udføre andre privilegerede handlinger uden at vise bekræftelsesdialoger.
Funktionerne til fjernadgang bliver stadig mere omfattende
Forskerne oplyser, at den nyeste RedHook-malware understøtter 53 kommandoer sendt fra dens command-and-control-server.
Disse funktioner omfatter:
- Streaming af enhedens skærm og optagelse af skærmbilleder
- Simulering af tryk, swipes, bevægelser, langt tryk og trækhandlinger
- Låsning og oplåsning af enheden
- Installation, start og afinstallation af apps
- Indsamling af kontakter, SMS-beskeder og oplysninger om installerede apps
- Visning af falske overlays og bekræftelsesdialoger
- Aktivering af enhedens kamera
- Genstart af enheden
Sammen med de udvidede rettigheder giver disse funktioner angribere omfattende kontrol over kompromitterede telefoner.
Malwaren anvender flere persistensmekanismer
Den opdaterede malware indeholder også flere mekanismer, der er designet til at forblive aktiv på inficerede enheder.
Den afspiller lyd lydløst for at øge processens prioritet og bruger WakeLocks til at forhindre processoren i at gå i dvale. To baggrundstjenester genstarter løbende hinanden, hvis en af dem bliver afsluttet.
Yderligere persistensmekanismer omfatter en watchdog-timer, der kører hvert femte minut, automatisk opstart efter genstart af enheden samt justeringer af hukommelsesstyringen, som reducerer risikoen for, at malwaren afsluttes, når systemressourcerne er begrænsede.
Brugere narres via falske app-downloads
Forskerne oplyser, at angribere spreder den nyeste RedHook-malware gennem social engineering-kampagner.
Ofrene modtager telefonopkald eller beskeder fra svindlere, der udgiver sig for at være offentlige myndigheder eller finansielle institutioner. Derefter bliver de ledt til falske Google Play-websites, hvor de downloader den ondsindede app.
Android-brugere bør kun installere apps fra den officielle Google Play Store, gennemgå de anmodede tilladelser nøje, før de godkendes, og sikre, at Google Play Protect er aktiveret for at hjælpe med at opdage malware.


0 svar til “RedHook-malware bruger Wireless ADB til at opnå avanceret shell-adgang på Android”