Networking

Malware Android RedHook sekarang menggunakan Wireless ADB untuk akses shell

2
malware-android-redhook-sekarang-menggunakan-wireless-adb-untuk-akses-shell
Malware Android RedHook sekarang menggunakan Wireless ADB untuk akses shell

Versi baru malware Android RedHook menyalahgunakan mekanisme Debugging Nirkabel Android (ADB Nirkabel) dengan cara baru untuk mendapatkan hak istimewa tingkat shell tanpa memerlukan koneksi komputer.

Para peneliti di perusahaan keamanan siber Group-IB menganalisis rilis baru malware seluler tersebut dan mengatakan bahwa malware tersebut memperluas kemampuannya secara signifikan dibandingkan dengan varian sebelumnya yang didokumentasikan pada tahun 2025.

Pada saat yang sama, malware tersebut tetap mempertahankan fitur remote access trojan (RAT), yang memungkinkannya melakukan streaming layar, mencegat penekanan tombol, mengotomatiskan interaksi UI, dan mencuri kredensial.

Penyalahgunaan ADB Nirkabel Otonom

ADB (Android Debug Bridge) adalah antarmuka debug Google yang memungkinkan pengguna mengontrol perangkat Android dari baris perintah.

Sistem, yang berjalan pada perangkat Android sebagai daemon ADB, memungkinkan pelaksanaan perintah shell dari komputer yang menjalankan klien ADB.

ADB Nirkabel, yang pertama kali diperkenalkan di Android 11, memberikan kemampuan yang sama secara nirkabel, tanpa mengharuskan perangkat dihubungkan melalui kabel USB.

RedHook pada dasarnya mengubah ponsel menjadi klien ADB-nya sendiri dengan menipu korban agar memberinya izin Aksesibilitas, yang memungkinkan ponsel secara otomatis memanipulasi Pengaturan, mengaktifkan Opsi Pengembang, dan mengaktifkan Wireless Debugging.

Setelah itu, malware mengambil kode pasangan yang ditampilkan di layar dan terhubung ke layanan ADB ponsel melalui antarmuka loopback (127.0.0.1).

Setelah dipasangkan, malware tersebut mendapatkan hak istimewa shell (UID 2000), yang secara signifikan lebih kuat daripada yang tersedia untuk aplikasi Android normal, meskipun tidak pada tingkat root.

Seluruh rantai serangan tidak mengharuskan perangkat di-root, sehingga berfungsi di semua perangkat Android selama pengguna tertipu untuk menyetujui permintaan izin Layanan Aksesibilitas.

Selanjutnya, malware tersebut menyebarkan kerangka kerja berbasis Shizuku untuk menjalankan perintah shell, memberikan izin tambahan, mengubah pengaturan Android yang dilindungi, menginstal atau menghapus aplikasi secara diam-diam, dan melakukan berbagai operasi tanpa menampilkan dialog pengguna.

Shizuku adalah utilitas Android sah yang populer di kalangan pengguna dan pengembang tingkat lanjut, dan tidak memerlukan perangkat yang di-rooting.

RedHook mengeksekusi kode Shizuku sebagai bagian dari rantai serangannya, menggunakannya sebagai server dengan hak istimewa (libmx.so) untuk memanggil API Android yang memiliki hak istimewa sebagai UID 2000.

Rantai serangan malware RedHook
Sumber: Grup-IB

Menurut Laporan Grup-IBversi malware saat ini mendukung 53 perintah yang dikeluarkan server, yang meliputi:

  • Streaming layar dan pengambilan tangkapan layar
  • Simulasikan ketukan, gesekan, gerakan, menyeret, dan klik panjang
  • Mengunci/membuka kunci perangkat
  • Instal, luncurkan, dan hapus instalan aplikasi
  • Kumpulkan kontak, SMS, dan aplikasi
  • Buat overlay atau dialog verifikasi palsu
  • Aktifkan kamera
  • Nyalakan ulang perangkat

Berbagai mekanisme persistensi malware juga disorot dalam laporan Group-IB.

RedHook menggunakan pemutaran audio senyap untuk meningkatkan prioritas proses, WakeLocks untuk mencegah CPU tidur, dan dua layanan yang memulai ulang satu sama lain ketika salah satu layanan dihentikan.

Mekanisme lainnya termasuk alarm pengawas selama lima menit, restart otomatis setelah booting perangkat, dan pengaturan oom_score_adj ke -1000 untuk mengurangi kemungkinan dimatikan ketika memori sistem yang tersedia rendah.

Versi terbaru RedHook didistribusikan melalui rekayasa sosial, melalui pesan dan panggilan telepon di mana penyerang menyamar sebagai lembaga pemerintah atau lembaga keuangan untuk mengarahkan korban ke situs Google Play palsu.

Pengguna Android disarankan untuk memasang aplikasi hanya dari Google Play, memeriksa izin yang diminta saat pemasangan, dan memastikan bahwa Play Protect aktif di perangkat.

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya

Exit mobile version