Forscher haben eine neue Version der RedHook-Malware identifiziert, die die Wireless-Debugging-Funktion von Android missbraucht, um Shell-Zugriff zu erlangen, ohne dass eine USB-Verbindung oder ein gerootetes Gerät erforderlich ist.

Die aktualisierte Malware baut auf früheren Versionen auf, indem sie den Missbrauch von Wireless Android Debug Bridge (ADB) mit ihren bestehenden Fernzugriffsfunktionen kombiniert. Dadurch können Angreifer deutlich mehr Kontrolle über infizierte Geräte erlangen.

Malware missbraucht Wireless ADB

Android Debug Bridge (ADB) ist Googles Debugging-Schnittstelle, mit der Entwickler Befehle auf Android-Geräten ausführen können.

Wireless ADB, das mit Android 11 eingeführt wurde, bietet dieselbe Funktionalität, ohne dass ein USB-Kabel benötigt wird.

Die neueste RedHook-Malware verleitet Nutzer dazu, der Accessibility Service Berechtigungen zu erteilen. Nach der Freigabe navigiert die Malware automatisch durch die Android-Einstellungen, aktiviert die Developer Options und schaltet Wireless Debugging ein.

Anschließend liest sie den auf dem Bildschirm angezeigten Kopplungscode aus und verbindet sich über die lokale Loopback-Schnittstelle mit dem ADB-Dienst des Geräts.

Dieser Vorgang verschafft der Malware Shell-Zugriff (UID 2000) und damit deutlich umfangreichere Berechtigungen als einer gewöhnlichen Android-App, ohne Root-Zugriff zu benötigen.

Shizuku erweitert die Fähigkeiten der Malware

Nachdem sie Shell-Zugriff erlangt hat, installiert RedHook ein Framework auf Basis von Shizuku, einem legitimen Android-Tool, das häufig von Entwicklern und fortgeschrittenen Nutzern verwendet wird.

Die Malware missbraucht Shizuku, um privilegierte Shell-Befehle auszuführen und auf geschützte Android-APIs zuzugreifen.

Dadurch können Angreifer zusätzliche Berechtigungen vergeben, geschützte Systemeinstellungen ändern, Apps unbemerkt installieren oder entfernen und weitere privilegierte Aktionen durchführen, ohne Bestätigungsdialoge anzuzeigen.

Fernzugriffsfunktionen werden immer umfangreicher

Nach Angaben der Forscher unterstützt die neueste RedHook-Malware 53 Befehle, die von ihrem Command-and-Control-Server gesendet werden.

Zu diesen Funktionen gehören:

  • Streaming des Gerätebildschirms und Erstellen von Screenshots
  • Simulation von Tippen, Wischgesten, Gesten, langem Drücken und Ziehbewegungen
  • Sperren und Entsperren des Geräts
  • Installieren, Starten und Deinstallieren von Apps
  • Sammeln von Kontakten, SMS-Nachrichten und Informationen über installierte Apps
  • Anzeigen gefälschter Overlays und Bestätigungsdialoge
  • Aktivieren der Gerätekamera
  • Neustarten des Geräts

In Kombination mit den erweiterten Berechtigungen verschaffen diese Funktionen Angreifern umfassende Kontrolle über kompromittierte Smartphones.

Malware nutzt mehrere Persistenzmechanismen

Die aktualisierte Malware enthält außerdem mehrere Mechanismen, die dafür sorgen sollen, auf infizierten Geräten dauerhaft aktiv zu bleiben.

Sie spielt unhörbare Audiodateien ab, um die Priorität ihres Prozesses zu erhöhen, und verwendet WakeLocks, um zu verhindern, dass der Prozessor in den Ruhemodus wechselt. Zwei Hintergrunddienste starten sich gegenseitig neu, sobald einer von ihnen beendet wird.

Weitere Persistenzmechanismen umfassen einen Watchdog-Timer, der alle fünf Minuten ausgeführt wird, den automatischen Start nach einem Neustart des Geräts sowie Anpassungen der Speicherverwaltung, die das Risiko verringern, dass die Malware bei knappen Systemressourcen beendet wird.

Nutzer werden über gefälschte App-Downloads getäuscht

Die Forscher erklären, dass Angreifer die neueste RedHook-Malware über Social-Engineering-Kampagnen verbreiten.

Die Opfer erhalten Anrufe oder Nachrichten von Betrügern, die sich als Behörden oder Finanzinstitute ausgeben. Anschließend werden sie auf gefälschte Google-Play-Websites weitergeleitet, auf denen sie die schädliche App herunterladen.

Android-Nutzer sollten Apps ausschließlich aus dem offiziellen Google Play Store installieren, angeforderte Berechtigungen sorgfältig prüfen und sicherstellen, dass Google Play Protect aktiviert ist, um schädliche Software erkennen zu können.


0 Kommentare zu „RedHook-Malware nutzt Wireless ADB, um erweiterten Shell-Zugriff auf Android zu erlangen“