Android木马RedHook升级 利用无线调试功能自动获取系统权限
据Group-IB安全研究报告,Android远程访问木马RedHook近日出现重大升级版本,首次利用Android系统内置的ADB无线调试功能自动获取shell级权限,无需root权限、USB连接或电脑配合即可远程控制受害者手机,Group-IB表示,这是他们首次发现恶意软件滥用该功能。

RedHook最早由Cyble于2026年7月发现,当时主要针对越南银行用户,攻击者通过电话或消息应用冒充**机构或银行,诱导受害者访问仿冒Google Play的网站下载恶意APK,恶意文件实际托管在AWS S3和GitHub等正规平台上以提高投递成功率。
安装后,应用引导用户授予无障碍服务权限,随后自动完成一系列操作:连续点击版本号7次开启开发者选项、进入无线调试设置、启用配对功能、读取屏幕上的配对码完成连接,恶意软件内嵌了自己的ADB客户端,通过设备内部回环地址(127.0.0.1)连接自身的ADB守护进程,整个流程在设备本地完成。

RedHook集成了开源工具Shizuku的代码,在shell uid 2000身份下运行特权服务进程"libmx.so",能够自行授予运行时权限、执行任意shell命令、捕获底层触控事件,并获取WRITE_SECURE_SETTINGS权限修改系统安全设置。此外,代码中包含针对Google、华为、魅族、OPPO、三星、vivo、小米等品牌的无线调试开启例程,但目前尚未在执行流程中调用,可能为后续版本准备。

攻击者拥有53条可用命令,包括实时屏幕监控、截屏、模拟触控、锁屏解锁、静默安装或删除应用、读取短信和联系人、记录按键输入以及远程重启,当shell特权服务激活后,RedHook可绕过MediaProjection API的强制同意对话框,直接通过RTMP协议进行屏幕串流。

在持久化方面,RedHook部署了多层机制:启动1×1像素的不可见Activity伪装前台进程、播放静音音频提升进程优先级、持有WakeLock阻止CPU休眠、两个服务进程互相绑定实现互相重启、每5分钟定时检查两个服务是否存活、注册BOOT_COMPLETED广播接收器实现开机自启并将oom_score_adj设为-1000豁免内存回收,通信方面使用WebSocket进行C2控制和屏幕串流,REST API用于数据回传。
据Group-IB观察,RedHook的攻击范围已从越南扩展至印度尼西亚,正在向东南亚更广范围蔓延,防范建议包括:仅从官方商店安装应用、对无障碍服务权限请求保持警惕、保持Google Play Protect开启。