CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Malware-ul RedHook pentru Android folosește Wireless ADB pentru acces la shell

Sursă: https://www.bleepingcomputer.com

O nouă versiune a malware-ului RedHook pentru Android exploatează mecanismul Android Wireless Debugging (Wireless ADB) într-un mod inedit pentru a obține privilegii la nivel de shell fără a necesita o conexiune la un computer.

În același timp, malware-ul își păstrează caracteristicile de trojan de acces la distanță (RAT), permițându-i să transmită în timp real ecranul, să intercepteze apăsările de taste, să automatizeze interacțiunile cu interfața utilizatorului și să sustragă datele de autentificare.

ADB (Android Debug Bridge) este interfața de depanare a Google care permite utilizatorului să controleze un dispozitiv Android din linia de comandă.

Sistemul, care rulează pe un dispozitiv Android sub forma unui daemon ADB, permite executarea comenzilor shell de pe un computer pe care rulează clientul ADB.

Wireless ADB, introdus pentru prima dată în Android 11, oferă aceeași funcționalitate prin conexiune fără fir, fără a fi necesară conectarea dispozitivelor printr-un cablu USB.

RedHook transformă, practic, telefonul într-un client ADB propriu, determinând utilizatorul să îi acorde permisiuni de accesibilitate, ceea ce îi permite să manipuleze automat setările, să activeze opțiunile pentru dezvoltatori și să activeze depanarea wireless.

După aceea, malware-ul preia codul de asociere afișat pe ecran și se conectează la serviciul ADB al telefonului prin intermediul interfeței loopback (127.0.0.1).

Odată conectat, malware-ul obține privilegii de tip shell (UID 2000), care sunt semnificativ mai eficiente decât cele disponibile pentru aplicațiile Android obișnuite, deși nu sunt la nivel de root.

Întregul lanț de atac nu necesită ca dispozitivul să fie rootat, astfel încât funcționează pe toate dispozitivele Android, atâta timp cât utilizatorul este indus în eroare să aprobe solicitarea de permisiune pentru Serviciul de Accesibilitate.

Apoi, malware-ul implementează un framework bazat pe Shizuku pentru a executa comenzi shell, a-și acorda permisiuni suplimentare, a modifica setările protejate ale Android, a instala sau a dezinstala aplicații în mod silențios și a efectua diverse operațiuni fără a afișa ferestre de dialog pentru utilizator.

Shizuku este un utilitar Android legitim, popular în rândul utilizatorilor avansați și al dezvoltatorilor, și nu necesită un dispozitiv rootat.

RedHook execută codul Shizuku ca parte a lanțului său de atac, folosindu-l ca server cu privilegii (libmx.so) pentru a apela API-uri Android cu privilegii sub UID 2000.

RedHook utilizează redarea audio silențioasă pentru a crește prioritatea procesului, WakeLocks pentru a împiedica trecerea procesorului în stare de repaus și două servicii care se repornesc reciproc atunci când unul dintre ele este oprit.

Alte mecanisme includ o alarmă de supraveghere de cinci minute, repornirea automată după pornirea dispozitivului și setarea parametrului oom_score_adj la -1000 pentru a reduce probabilitatea de a fi oprit atunci când memoria disponibilă a sistemului este redusă.

Utilizatorilor de Android li se recomandă să instaleze aplicații numai din Google Play, să verifice cu atenție permisiunile solicitate la instalare și să se asigure că Play Protect este activ pe dispozitiv.

Sursă: https://www.bleepingcomputer.com/news/security/redhook-android-malware-now-uses-wireless-adb-for-shell-access/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |
login