Android木马RedHook升级 利用无线调试功能自动获取系统权限
时间:2026-07-15
小编:本站小编
阅读: 1046
据Group-IB安全研究报告,Android远程访问木马RedHook近日出现重大升级版本,首次利用Android系统内置的ADB无线调试功能自动获取shell级权限,无需root权限、USB连接或电脑配合即可远程控制受害者手机,Group-IB表示,这是他们首次发现恶意软件滥用该功能。

RedHook最早由Cyble于2026年7月发现,当时主要针对越南银行用户,攻击者通过电话或消息应用冒充**机构或银行,诱导受害者访问仿冒Google Play的网站下载恶意APK,恶意文件实际托管在AWS S3和GitHub等正规平台上以提高投递成功率。
安装后,应用引导用户授予无障碍服务权限,随后自动完成一系列操作:连续点击版本号7次开启开发者选项、进入无线调试设置、启用配对功能、读取屏幕上的配对码完成连接,恶意软件内嵌了自己的ADB客户端,通过设备内部回环地址(127.0.0.1)连接自身的ADB守护进程,整个流程在设备本地完成。

RedHook集成了开源工具Shizuku的代码,在shell uid 2000身份下运行特权服务进程"libmx.so",能够自行授予运行时权限、执行任意shell命令、捕获底层触控事件,并获取WRITE_SECURE_SETTINGS权限修改系统安全设置。此外,代码中包含针对Google、华为、魅族、OPPO、三星、vivo、小米等品牌的无线调试开启例程,但目前尚未在执行流程中调用,可能为后续版本准备。

攻击者拥有53条可用命令,包括实时屏幕监控、截屏、模拟触控、锁屏解锁、静默安装或删除应用、读取短信和联系人、记录按键输入以及远程重启,当shell特权服务激活后,RedHook可绕过MediaProjection API的强制同意对话框,直接通过RTMP协议进行屏幕串流。

在持久化方面,RedHook部署了多层机制:启动1×1像素的不可见Activity伪装前台进程、播放静音音频提升进程优先级、持有WakeLock阻止CPU休眠、两个服务进程互相绑定实现互相重启、每5分钟定时检查两个服务是否存活、注册BOOT_COMPLETED广播接收器实现开机自启并将oom_score_adj设为-1000豁免内存回收,通信方面使用WebSocket进行C2控制和屏幕串流,REST API用于数据回传。
据Group-IB观察,RedHook的攻击范围已从越南扩展至印度尼西亚,正在向东南亚更广范围蔓延,防范建议包括:仅从官方商店安装应用、对无障碍服务权限请求保持警惕、保持Google Play Protect开启。
-
2026最新抓取攻略 洛克王国世界隐藏神宠怎么抓洛克王国世界中有哪些隐藏神宠?这些神宠实力强大,很多玩家都不清楚如何捕捉,下面为您带来洛克王国世界隐藏神宠抓取攻略。洛克王国世界隐藏神宠抓取攻略翼系精灵时间:2026-07-15
-
Android木马RedHook升级 利用无线调试功能自动获取系统权限据Group-IB安全研究报告,Android远程访问木马RedHook近日出现重大升级版本,首次利用Android系统内置的ADB无线调试功能自动获取sh时间:2026-07-15
-
-
《金垦小镇》一周年更新,正式登陆NintendoSwitch2KRAFTON今日宣布,为庆祝开发者James Bendon打造的生存生活模拟游戏《金垦小镇》在Steam正式上线一周年,游戏将推出大规模内容更新,并同步登时间:2026-07-15
-
《辐射4》周年纪念版新补丁再引玩家不满B社宣布将为《辐射4》推出新补丁。该更新旨在修复周年纪念版中的一些问题,同时还将把《新维加斯》中的毒蜂枪加入游戏。但是这次更新再次引发了玩家群体的新一轮不时间:2026-07-15
热门阅读
-
CDPR透露《巫师3》DLC《血与酒》幕后原本打算作为独立作品发售
阅读:3310
-
游戏上线时间介绍 绿梦时空之声什么时候上线
阅读:2456
-
《远星物语》团队新作《皓白初晓》现已登陆Steam抢先体验
阅读:1434
-
泰拉饭三头犬打法攻略 明日方舟泰拉饭三头犬怎么打
阅读:1532
-
或将重返圣巢《丝之歌》粉丝发现未实装纹章
阅读:4850
