A Group-IB kiberbiztonsági cég elemezte a RedHook mobilkártevő újabb kiadását, amely a 2025-ös verziójához képest számos új képességgel bővült. A kártevő például már képes shell szintű jogosultságokat szerezni az Android Wireless Debugging (Wireless ADB) mechanizmusának visszaélésével, miközben továbbra is megtartotta a távoli hozzáférésű trójai (RAT) funkcióit, lehetővé téve a képernyő streamelését, billentyűleütések elfogását, a felhasználói felületek automatizálását és a hitelesítő adatok ellopását.
Az ADB (Android Debug Bridge) a Google hibakereső felülete, amely lehetővé teszi a felhasználó számára, hogy parancssorból vezérelje az Android-eszközt. Egy ADB deamonként futó rendszer lehető teszi shell parancsok végrehajtását egy Android-eszközön, egy ADB klienst futtató számítógépről. Az Android 11-es verziójával bevezetésre került a vezeték nélküli ADB is.
A RedHook működése során lényegében saját ADB klienssé alakítja a céleszközt azáltal, hogy ráveszi az áldozatokat olyan hozzáférési engedélyek kiadására, amelyek lehetővé teszik a beállítások automatikus kezelését, a fejlesztői beállítások kezelését és a vezeték nélküli ADB aktiválását. Ezt követően a rosszindulatú program lekéri a képernyőn megjelenő párosítási kódot, és a loopback interfészen (127.0.0.1) keresztül csatlakozik a telefon ADB szolgáltatásához. A párosítás után a rosszindulatú program képes shell (UID 2000) jogosultságokat szerezni, amelyek bár nem root szintűek, lényegesen erősebbek, mint a normál Android-alkalmazások számára elérhetők.
A támadáshoz nincs szükség arra, hogy az eszköz rootolt legyen, így az minden olyan Android eszközön működik, amelyen a felhasználókat rá tudják venni az Akadálymentesítési Szolgáltatás engedélykérésének jóváhagyására.
Végül a RedHook egy Shizuku-alapú keretrendszert telepít a céleszközökön, shell parancsok végrehajtása, további engedélyek megszerzése, védelmi beállítások módosítása, alkalmazások telepítése és eltávolítása, valamint különféle műveletek végrehajtása céljából, párbeszédpanel megjelenítése nélkül.
A Group-IB jelentése szerint a rosszindulatú program jelenlegi verziója 53 szerver által kiadott parancsot támogat, köztük képernyő streamelést és képernyőképek készítését, eszközök zárolását és feloldását, kamera aktiválását és számos egyéb művelet végrehajtását.
A RedHook legújabb verzióját megtévesztő üzenetekkel és telefonhívásokkal terjesztik, ahol a támadók kormányzati szerveknek vagy pénzügyi intézményeknek adják ki magukat, céljuk pedig, hogy az áldozatokat hamis Google Play oldalakra irányítsák. Az Android-felhasználóknak javasolt kizárólag a Google Play-ről telepíteni alkalmazásaikat, a telepítések során ellenőrizni az alkalmazások által kért hozzáférési engedélyeket, illetve erősen javasolt a Play Protect aktiválása az eszközön.
