Пугающе живучий вредонос практически невозможно удалить со смартфона.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Функция отладки, встроенная в каждый смартфон на Android для разработчиков, неожиданно оказалась в руках мошенников и превратилась в инструмент полного захвата чужого устройства.
Речь идёт о трояне RedHook , нацеленном на Android-смартфоны. Вредонос впервые описали ещё в июле 2025 года, но в новой версии он получил возможность, которую специалисты Group-IB раньше не встречали в мобильных зловредах: самостоятельно включать на заражённом телефоне беспроводную отладку ADB и с её помощью получать права уровня системной оболочки, минуя root и без каких-либо действий со стороны жертвы.
По данным Group-IB, заражение начинается по классической схеме. Мошенники звонят или пишут жертве в мессенджере, представляясь сотрудниками банка или государственного учреждения, и убеждают установить приложение с поддельного сайта, оформленного под официальный магазин приложений. Сами вредоносные APK-файлы при этом лежат на вполне легитимных площадках — в репозиториях GitHub и облачных хранилищах Amazon S3, что снижает подозрения у систем защиты.
После установки жертву уговаривают включить для приложения доступ к специальным возможностям якобы для полноценной работы сервиса. Именно эта функция становится ключом ко всему остальному. Получив к ней доступ, троян автоматически, без участия человека, заходит в настройки телефона, семь раз нажимает на номер сборки, чтобы открыть меню разработчика, и включает беспроводную отладку.
Обычно все эти манипуляции скрыты от жертвы полноэкранным наложением. Дальше вредонос запускает на устройстве собственный ADB -клиент, который подключается к отладочному серверу телефона напрямую через локальный адрес, без участия компьютера. В основе этого механизма лежит код популярного инструмента Shizuku, которым обычно пользуются продвинутые пользователи Android для расширения прав приложений без root-доступа.
Получив системные привилегии, RedHook может тайно ставить и удалять программы, менять защищённые настройки и выдавать себе разрешения без единого запроса подтверждения. Чтобы оставаться в системе как можно дольше, троян использует сразу несколько приёмов: имитирует активное окно на экране, проигрывает беззвучное аудио, удерживает процессор от засыпания и не даёт системе завершить свой процесс при нехватке памяти.
Два служебных процесса вредоноса взаимно перезапускают друг друга при попытке их остановить, а после перезагрузки телефона отдельный компонент автоматически восстанавливает все привилегии заново. Похищенные данные и видеопоток с экрана передаются через защищённое сетевое соединение на серверы злоумышленников. Если системные права уже получены, вредонос способен транслировать экран напрямую, минуя стандартный системный запрос на разрешение записи экрана.
По имеющимся данным, атаки пока сосредоточены в Юго-Восточной Азии, где заражения фиксировались во Вьетнаме, а позже — в Индонезии. Для защиты рекомендуется устанавливать приложения только из официальных магазинов, с осторожностью относиться к неизвестным источникам, внимательно проверять запрашиваемые разрешения и особенно настороженно реагировать на просьбу включить доступ к специальным возможностям устройства.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
Функция отладки, встроенная в каждый смартфон на Android для разработчиков, неожиданно оказалась в руках мошенников и превратилась в инструмент полного захвата чужого устройства.
Речь идёт о трояне RedHook , нацеленном на Android-смартфоны. Вредонос впервые описали ещё в июле 2025 года, но в новой версии он получил возможность, которую специалисты Group-IB раньше не встречали в мобильных зловредах: самостоятельно включать на заражённом телефоне беспроводную отладку ADB и с её помощью получать права уровня системной оболочки, минуя root и без каких-либо действий со стороны жертвы.
По данным Group-IB, заражение начинается по классической схеме. Мошенники звонят или пишут жертве в мессенджере, представляясь сотрудниками банка или государственного учреждения, и убеждают установить приложение с поддельного сайта, оформленного под официальный магазин приложений. Сами вредоносные APK-файлы при этом лежат на вполне легитимных площадках — в репозиториях GitHub и облачных хранилищах Amazon S3, что снижает подозрения у систем защиты.
После установки жертву уговаривают включить для приложения доступ к специальным возможностям якобы для полноценной работы сервиса. Именно эта функция становится ключом ко всему остальному. Получив к ней доступ, троян автоматически, без участия человека, заходит в настройки телефона, семь раз нажимает на номер сборки, чтобы открыть меню разработчика, и включает беспроводную отладку.
Обычно все эти манипуляции скрыты от жертвы полноэкранным наложением. Дальше вредонос запускает на устройстве собственный ADB -клиент, который подключается к отладочному серверу телефона напрямую через локальный адрес, без участия компьютера. В основе этого механизма лежит код популярного инструмента Shizuku, которым обычно пользуются продвинутые пользователи Android для расширения прав приложений без root-доступа.
Получив системные привилегии, RedHook может тайно ставить и удалять программы, менять защищённые настройки и выдавать себе разрешения без единого запроса подтверждения. Чтобы оставаться в системе как можно дольше, троян использует сразу несколько приёмов: имитирует активное окно на экране, проигрывает беззвучное аудио, удерживает процессор от засыпания и не даёт системе завершить свой процесс при нехватке памяти.
Два служебных процесса вредоноса взаимно перезапускают друг друга при попытке их остановить, а после перезагрузки телефона отдельный компонент автоматически восстанавливает все привилегии заново. Похищенные данные и видеопоток с экрана передаются через защищённое сетевое соединение на серверы злоумышленников. Если системные права уже получены, вредонос способен транслировать экран напрямую, минуя стандартный системный запрос на разрешение записи экрана.
По имеющимся данным, атаки пока сосредоточены в Юго-Восточной Азии, где заражения фиксировались во Вьетнаме, а позже — в Индонезии. Для защиты рекомендуется устанавливать приложения только из официальных магазинов, с осторожностью относиться к неизвестным источникам, внимательно проверять запрашиваемые разрешения и особенно настороженно реагировать на просьбу включить доступ к специальным возможностям устройства.
- Источник новости
- www.securitylab.ru