Смартфон сам себя взламывает — как работает опасный вирус RedHook

Изображение: recraft
Обновлённая версия трояна RedHook для Android получила механизм превращения заражённого смартфона в собственный ADB-сервер и клиент одновременно. Вредонос сам активирует беспроводную отладку, считывает код сопряжения и подключается к shell-службе через loopback-адрес 127.0.0.1, забирая права уровня UID 2000. Российские владельцы Android-устройств входят в зону риска наравне с зарубежными пользователями, поскольку схема распространения через фейковые страницы Google Play и звонки от «сотрудников банков» давно освоена местными мошенническими группировками.
Специалисты Group-IB разобрали свежий образец и зафиксировали серьёзную переработку внутренней архитектуры по сравнению со сборкой 2025 года. Прежний вариант выглядел набором стандартных функций удалённого доступа, тогда как нынешний приблизился к карманному центру дистанционного управления смартфоном жертвы. Базовые таланты RATа сохранились полностью. Троян передаёт операторам изображение с дисплея, отслеживает вводимый текст, перехватывает нажатия, выполняет действия в интерфейсе без участия владельца и охотится за логинами и паролями от банковских кабинетов.
Главный технический трюк новой версии связан с Android Debug Bridge. Инструмент создавался Google для разработчиков и системных администраторов, желающих копаться в устройстве глубже стандартных настроек. Через ADB устанавливают приложения, читают журналы, передают файлы, меняют системные параметры и запускают команды оболочки, для чего обычно требуется отдельный компьютер с ADB-клиентом. В Android 11 появилась беспроводная отладка, позволившая отказаться от USB-кабеля, а авторы RedHook посмотрели на эту возможность с совершенно другой стороны и заставили заражённый телефон подключаться сам к себе.
Интересно, что троян не взламывает загрузчик, не прошивает изменённый образ системы и не эксплуатирует редкие уязвимости ядра — RedHook собирает атаку из штатных функций Android и доверия владельца устройства.
Стартовым условием цепочки становится разрешение на работу со службой специальных возможностей. Злоумышленники получают его через социальную инженерию, убеждая жертву, что доступ нужен банковскому клиенту, госсервису или системе защиты платежей. После этого RedHook берёт управление интерфейсом смартфона в свои руки. Вредонос открывает настройки, добирается до меню разработчика, находит пункт беспроводной отладки и запускает Wireless ADB.
Далее программа считывает код сопряжения, который Android показывает на экране. Для рядового приложения этот код невидим, но доступ к специальным возможностям открывает трояну содержимое любого окна. Затем RedHook обращается к адресу 127.0.0.1, известному как интерфейс обратной связи, и проходит процедуру сопряжения с собственной ADB-службой. Со стороны системы происходящее выглядит подключением доверенного клиента, хотя роль компьютера в конструкции выполняет вредоносная программа, уже сидящая внутри телефона.
После успешного соединения троян получает привилегии пользователя shell с идентификатором UID 2000. Это ещё не root, но разрыв между обычным приложением в песочнице и shell-доступом весьма внушительный. Права shell позволяют:
- запускать команды системной оболочки без участия владельца;
- управлять пакетами и устанавливать APK;
- менять защищённые параметры Android;
- обращаться к API, закрытым для рядового софта;
- отключать отдельные механизмы защиты.
Следующим элементом конструкции стал Shizuku — легальная утилита, популярная среди разработчиков и продвинутых владельцев Android. Она даёт приложениям обращаться к системным API через ADB или root, не встраивая собственную громоздкую систему выполнения команд. Проблема возникла не в самой утилите, а в том, что RedHook встроил её идеи во вредоносную цепочку. Троян запускает код на базе Shizuku и использует библиотеку libmx.so как привилегированный сервер, вызывая расширенные Android API от имени пользователя shell.
По данным Group-IB, нынешняя версия RedHook понимает 53 команды с управляющего сервера. Набор возможностей выглядит так:
- трансляция экрана и отдельные снимки дисплея;
- имитация касаний, свайпов, жестов и продолжительных нажатий;
- блокировка и разблокировка устройства;
- установка, запуск и удаление приложений;
- сбор контактов, SMS и перечня установленного софта.
Уточняется, что троян умеет активировать камеру смартфона, расширяя слежку за пределы цифрового содержимого и получая изображения окружающей обстановки владельца.
Отдельная функция связана с созданием наложений и фальшивых окон подтверждения. На экране появляется форма, внешне похожая на интерфейс банка, магазина или системной настройки. Владелец вводит пароль или соглашается с запросом, а данные уходят операторам RedHook. Для российских пользователей мобильных банков подобная схема выглядит крайне неприятно, поскольку большинство отечественных приложений полагаются на подтверждение через SMS, а троян читает сообщения напрямую.
Создатели RedHook позаботились о выживании программы внутри системы. Современный Android агрессивно завершает фоновые процессы ради экономии заряда и оперативной памяти, поэтому вредонос применяет сразу несколько приёмов закрепления:
- беззвучное воспроизведение аудио для повышения приоритета процесса;
- удержание WakeLock для блокировки перехода процессора в сон;
- две службы, следящие друг за другом и перезапускающие напарника;
- сторожевой таймер каждые пять минут для проверки компонентов;
- изменение параметра oom_score_adj на значение минус 1000.
Распространяется новая версия через сообщения и телефонные звонки. Преступники представляются работниками государственных сервисов, банков или платёжных систем, сообщают о проблеме с аккаунтом либо переводом и направляют жертву на поддельную страницу Google Play. Внешне сайт копирует оформление магазина, показывает логотипы, отзывы и кнопку установки, а фактический APK скачивается со стороннего сервера без стандартной проверки Google.
Российские владельцы Android-смартфонов находятся в группе повышенного риска сразу по нескольким причинам. Отечественные банки массово перешли на мобильные приложения, которые распространяются вне Google Play через сайты и RuStore, что размывает у людей понимание нормальной процедуры установки. Мошеннические колл-центры, работающие по русскоязычной аудитории, отточили сценарии обмана до уровня, при котором даже осторожный пользователь может поверить в необходимость поставить «программу защиты платежей». Именно на этом этапе жертва добровольно выдаёт RedHook доступ к специальным возможностям и запускает всю цепочку.
Владельцам Android стоит загружать приложения только через официальный Google Play или RuStore, отказываться от установки APK по ссылкам из SMS, мессенджеров и телефонных разговоров. Перед выдачей доступа к специальным возможностям полезно спросить себя, зачем калькулятору, банковской справке или сервису доставки полный контроль над экраном. Не помешает открыть настройки разработчика и убедиться, что беспроводная отладка выключена, а Play Protect активна и проверяет устанавливаемые пакеты.
Ранее сообщалось, что специалисты по информационной безопасности выявили новую схему атак на Android-устройства, при которой шифрование пользовательских файлов запускается непосредственно через браузер Chrome. Исследователи отметили, что злоумышленникам не требуется устанавливать вредоносные приложения, использовать уязвимости операционной системы или получать расширенные привилегии. Для реализации атаки достаточно убедить пользователя открыть специально подготовленную веб-страницу и предоставить ей разрешение на доступ к файлам устройства.
Экспертная редакция CISOCLUB рассматривает нынешний RedHook как показательный пример конструкторского подхода к мобильным атакам. Мошенники перестали искать редкие уязвимости в ядре Android и переключились на комбинирование штатных функций системы с человеческим доверием, что заметно повышает планку для защитных решений. Wireless ADB, Shizuku и служба специальных возможностей полезны разработчикам, поэтому убрать их из системы Google не сможет, а бороться придётся именно с моментом выдачи разрешений.
Российским пользователям редакция советует относиться к любому запросу управления экраном от свежеустановленного приложения как к прямой попытке передать смартфон под чужой контроль. Отдельного внимания заслуживает работа операторов колл-центров, которые давно научились подводить жертву к самостоятельной установке трояна без каких-либо технических взломов. Мобильная гигиена перестаёт быть темой для узких специалистов и превращается в базовый навык владельца смартфона.



