Android RATの「RedHook」、ワイヤレスADBを悪用して権限を密かに取得しデバイスを乗っ取る

Android向けのリモートアクセス型トロイの木馬(RAT)「RedHook」が、モバイルマルウェアの進化を象徴する不穏な新機能を携えて再び姿を現しました。

RedHookは2025年7月にセキュリティ研究者によって初めて確認され、当初はベトナムのユーザーを標的としていましたが、現在ではインドネシアにも攻撃範囲を拡大しています。

旧バージョンはキーロギングや認証情報窃取といった一般的な機能に依存していましたが、最新の亜種は権限の不正取得において極めて巧妙な手法を採用しています。

RedHookはAndroidに標準搭載されているデバッグ機能を悪用することで、被害者のスマートフォンを完全かつ自律的に制御できるようになりました。

RedHookの新機能の中でも特に危険なのが、Android Debug Bridge(ADB)のワイヤレスデバッグ機能を乗っ取る能力です。ADBは本来、アプリのテストやファイルシステムの変更を目的とした正規の開発者向けツールです。

通常、この機能を使うにはPCとのUSB物理接続が必要です。しかしRedHookはこの機能のワイヤレス版を悪用し、PCやroot権限を必要とせず、デバイス上だけでシェルレベルの権限(uid 2000)を取得します。

感染は、ソーシャルエンジニアリングから始まります。被害者は、GitHubやAmazon S3といった正規プラットフォーム上でホストされた、政府機関や金融機関になりすました偽サイトから悪意あるAPKファイルをダウンロードするよう誘導されます。

インストールされると、マルウェアはユーザーに対してアクセシビリティ権限を付与するよう誘導します。この権限を利用してRedHookはバックグラウンドで動作し、ユーザーのタップ操作を模倣してデバイスの設定画面を操作します。

OSのビルド番号を自動的に7回タップして開発者向けオプションを解除し、ワイヤレスデバッグを有効化した上で、ユーザーに一切気づかれることなくペアリングコードを取得します。

ワイヤレスデバッグが有効化されると、RedHookは内蔵のADBクライアントを使ってデバイス自身のローカルネットワークのループバックインターフェースに接続します。

続いて、人気のオープンソースフレームワークである「Shizuku」のコードを利用して、特権を持つサーバープロセスを起動します。

これにより、マルウェアは自らに実行時権限を付与し、シェルコマンドを実行し、セキュリティ警告や確認ダイアログをユーザーに表示することなく他のアプリケーションを密かにインストール・アンインストールできるようになります。

権限昇格の手口に加えて、RedHookは活動を維持するために非常に粘り強い多層的な永続化の仕組みを備えています。

AndroidのOSは通常、バッテリー消費を抑えるためにバックグラウンドアプリを終了させます。しかしRedHookは、いくつもの巧妙な手口を使ってこれを回避します。

例えば、画面上にほぼ見えない1×1ピクセルのアクティビティを起動します。これによりOSはこのマルウェアを優先度の高いフォアグラウンドアプリケーションと誤認し、メモリ管理による強制終了の対象から除外されると、Group-IBは指摘しています

また、このマルウェアはバックグラウンドで無音の音声を再生します。さらにメモリ管理スコアを可能な限り低い値に変更することで、システムから終了対象として狙われないようにしています。

加えてRedHookは、2つのプロセス間バインドサービスを利用した相互復活の仕組みを備えています。

OSがマルウェアのプロセスの一方を強制終了させても、生き残ったサービスが即座にその切断を検知し、相方のプロセスを再起動します。マルウェアを完全に停止させるには、両方のプロセスを同時に終了させる必要があります。

翻訳元: https://cyberpress.org/redhook-abuses-wireless-adb/

ソース: cyberpress.org