Nový malvér RedHook pre Android ti môže vybieliť účet bez toho, aby si si niečo všimol

Nový Android malvér RedHook si sám zapne Wireless ADB, získa práva shellu a dokáže ovládať telefón, čítať správy či sledovať obrazovku.

hacker-bankova-karta_titulka
Zdroj: Unsplash (Adnan Khan, engin akyurt), Pixaby.com (Tumisu a Nikin), Vosveteit.sk

Stiahneš si aplikáciu, ktorá vyzerá ako štátny portál alebo banková služba. Povolíš jej funkcie Prístupnosti, pretože bez nich vraj nebude fungovať. V tej chvíli však malvéru otvoríš cestu k tomu, čo píšeš, čo máš na displeji aj ako telefón používaš. Nová verzia trójskeho koňa RedHook navyše dokáže získať prístup na úrovni shellu bez toho, aby bol telefón rootnutý. K ladiacemu rozhraniu sa pritom prekliká sama.

RedHook si v telefóne sám zapne Wireless ADB

ADB, teda Android Debug Bridge, je ladiace rozhranie od Googlu. Vývojári ho používajú na spúšťanie príkazov, ladenie aplikácií či inštalovanie softvéru. Od Androidu 11 funguje aj bez kábla cez Wireless Debugging. RedHook túto možnosť zneužíva spôsobom, s akým sa výskumníci zo spoločnosti Group-IB podľa vlastných slov pri malvéri ešte nestretli.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Najskôr potrebuje, aby mu používateľ povolil službu Prístupnosť. Potom už všetko zvládne sám. Otvorí nastavenia, sedemkrát ťukne na číslo zostavenia, odomkne Vývojárske možnosti, zapne Wireless Debugging a otvorí párovanie pomocou kódu.

Moznosti pre vyvojarov_android_uvodny obrazok
Zdroj: Vosveteit

Kód si prečíta z obrazovky a pripojí sa k vlastnému ADB daemonu cez lokálnu adresu 127.0.0.1. Telefón sa tak správa ako ADB server aj klient zároveň. Útočník nepotrebuje počítač ani USB kábel. Celý postup prebehne priamo v napadnutom zariadení.

Obeť pritom nemusí nič spozorovať. RedHook môže displej prekryť celoobrazovkovou vrstvou, pod ktorou potichu otvára jednotlivé ponuky a zapína vývojárske funkcie.

Po pripojení spustí proces libmx.so pod identitou shell, teda UID 2000. Android tomuto používateľovi povoľuje oveľa viac než bežnej aplikácii, stále však nejde o plný root. RedHook následne dokáže spúšťať shell príkazy, udeľovať si ďalšie oprávnenia, meniť chránené nastavenia a inštalovať či odstraňovať aplikácie bez bežných potvrdzovacích okien.

Pri útoku používa kód z frameworku Shizuku. Ten sám osebe nie je nebezpečný. Ide o legitímny nástroj pre vývojárov a pokročilých používateľov, ktorý sprístupňuje privilegované funkcie Androidu bez rootovania telefónu.

RedHook pritom neprelamuje samotný Android. Neklope na zamknuté dvere, ale presvedčí používateľa, aby mu ich otvoril. Bez nainštalovaného APK a povolenej služby Prístupnosť sa tento reťazec nespustí.

RedHook dokáže telefón ovládať takmer bez obmedzení

Aktuálna verzia RedHooku dokáže prijímať 53 typov príkazov zo servera útočníkov. Môže streamovať obrazovku, robiť snímky displeja, zaznamenávať stlačené klávesy, simulovať dotyky a gestá alebo zamknúť a odomknúť zariadenie.

Z telefónu vie vytiahnuť kontakty, SMS správy a zoznam nainštalovaných aplikácií. Dokáže spúšťať, inštalovať a odstraňovať ďalšie programy, zobrazovať falošné overovacie okná, aktivovať kameru či reštartovať zariadenie. Jedno z falošných okien môže od používateľa žiadať bezpečnostný kód a zároveň zapnúť predný fotoaparát, aby útočník získal aj záber jeho tváre.

smartfon hacker
Zdroj: danigeza a geralt / Pixabay.com

Ak už v telefóne beží pomocník s právami shellu, RedHook môže zaznamenávať obrazovku bez štandardného súhlasu, ktorý Android normálne vyžaduje cez rozhranie MediaProjection.

RedHook sa po vypnutí dokáže znova sám spustiť

RedHook sa nespolieha na jediný trik. V telefóne si vytvára niekoľko poistiek naraz, aby prežil pokusy systému o ukončenie aj snahu používateľa zbaviť sa ho.

Na pozadí prehráva tichý zvuk, čím si zvyšuje prioritu procesu. WakeLock zasa bráni procesoru, aby úplne zaspal, a dve samostatné služby sa navzájom strážia. Keď Android jednu ukončí, druhá ju znova spustí.

Každých päť minút sa ozve kontrolný alarm, ktorý preverí, či obe služby stále bežia. Po reštarte telefónu sa RedHook automaticky spustí, znovu zapne Wireless ADB, načíta uložený kľúč a pokúsi sa obnoviť pomocníka s UID 2000.

pozor aplikacie_android telefon_1
Zdroj: Vosveteit.sk a Clker-Free-Vector-Images z Pixabay

Malvér si upravuje aj parameter oom_score_adj na hodnotu -1000. Android podľa neho rozhoduje, ktoré procesy môže pri nedostatku pamäte ukončiť ako prvé. Hodnota -1000 znamená, že RedHook sa snaží zaradiť medzi procesy, ktorých sa systém nemá dotýkať.

Keď je displej vypnutý, spustí aj takmer neviditeľnú aktivitu s rozmerom 1 × 1 pixel. Pre človeka je prakticky nepostrehnuteľná, no Android môže aplikáciu naďalej považovať za viditeľnú a ponechať jej vyššiu prioritu.

RedHook už necieli len na používateľov vo Vietname

RedHook prvýkrát zdokumentovali výskumníci spoločnosti Cyble v júli 2025. Útoky sa pôvodne sústreďovali najmä na Vietnam. Podvodníci sa vydávali za pracovníkov úradov, bánk alebo technickej podpory a obete kontaktovali cez telefonáty či komunikačné aplikácie.

Následne ich poslali na falošnú stránku, ktorá sa podobala na Google Play alebo web štátnej inštitúcie. Samotné APK súbory sa objavili aj v GitHub repozitároch a Amazon S3 bucketoch. Známa adresa však o bezpečnosti súboru nehovorí nič.

V kóde malvéru sa navyše nachádzajú postupy pripravené pre telefóny značiek Google, Huawei, Meizu, Oppo, Samsung, Vivo a Xiaomi. Výskumníci však upozorňujú, že tieto rutiny sa v súčasnej verzii ešte nespúšťajú. Zrejme ide o prípravu na ďalšie verzie.

Jedno povolenie môže útočníkom otvoriť celý telefón

Najdôležitejšie je neinštalovať aplikáciu, ktorú ti niekto pošle cez správu, e-mail alebo počas telefonátu. Banka, úrad ani technická podpora od teba nebudú žiadať, aby si si stiahol APK z odkazu a následne mu povolil ovládanie telefónu.

Aplikácie sťahuj z Google Play alebo z oficiálneho webu dôveryhodného vývojára a skontroluj, či máš zapnutý Play Protect. Osobitnú pozornosť venuj službe Prístupnosť. Aplikácia s týmto oprávnením môže čítať obsah obrazovky, stláčať tlačidlá a pohybovať sa v systéme namiesto teba.

Pravidlo číslo jeden, cez ktoré nejde vlak: ak ti APK súbor pristane v správe od neznámeho človeka alebo údajnej podpory, rovno ho vymaž.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať