2025年7月に初めて確認されたAndroid向けリモートアクセス型トロイの木馬(RAT)「RedHook」が、著しく危険性の高い新機能を備えて再び姿を現しました。今回確認されたのは、AndroidのADBワイヤレスデバッグを自律的に悪用し、シェルレベルの権限(uid 2000)を取得する機能です。
画面ストリーミング、キーロギング、アクセシビリティ機能を利用したUI操作、認証情報の窃取といった従来からの基本機能はそのまま維持されつつ、最新のRedHookビルドでは正規の開発者向けツールやオープンソースのフレームワークを転用し、権限昇格と強固な永続化を狙う動きが明確になっています。
この権限昇格の核心にあるのが、アクセシビリティ権限を利用して開発者向けオプションを有効化し、ワイヤレスデバッグを切り替えるというRedHookの手法です。
このトロイの木馬は、ユーザーが実際に行う操作、すなわちビルド番号の複数回タップ、開発者向けオプションの操作、そしてワイヤレスデバッグの開始といったUI操作をそのまま再現し、全画面オーバーレイの裏でバックグラウンド動作しながらペアリングを行います。
この段階的な自動化により、物理的なホスト機器やユーザーの認識は一切不要となり、ワイヤレスデバッグは端末上で権限昇格へと通じるゲートウェイと化しています。
RedHookはADBクライアントを組み込み、Shizukuのモデルを利用してシェルuid 2000の下で特権サーバープロセスを実行します。Shizukuの手法、すなわちアプリがループバック経由で端末のADBデーモンにローカル接続する仕組みは、本来は開発者や愛好家向けの正規の用途を想定したものです。
シェルレベルの特権を持つサーバーが稼働し始めると、このマルウェアは追加のユーザー確認を一切行うことなく、実行時権限を自ら付与し、Settings.Secure(WRITE_SECURE_SETTINGSを含む)へ書き込み、任意のシェルコマンドを実行し、アプリをサイレントにインストール・アンインストールし、さらに低レベルのタッチイベントまで取得できるようになります。
拡散手法は依然としてソーシャルエンジニアリングに依存しています。攻撃者は政府機関や金融機関を装った偽サイトを通じて悪意あるAPKを配布し、音声通話やメッセージングを使った巧妙な説得で被害者にインストールさせています。
GroupIBの研究者らによると、RedHookはこのパターンを転用し、特権サーバー(libmx.soとして確認)を起動させ、Binder IPCインターフェースを公開し、保護された対象のシステムAPIを実行するとしています。
RedHookによるアクセシビリティの悪用
注目すべきは、ペイロードのホスティングにAmazon S3やGitHubといった信頼性の高いクラウド・開発インフラが使われている点です。これにより配信の信頼性を高め、即座のテイクダウンを回避しています。
最近のテレメトリでは、標的地域がベトナムからインドネシアへと拡大している傾向が見られ、東南アジア全域を巻き込むキャンペーンへと発展していることがうかがえます。
RedHookの永続化の仕組みは、再起動やプロセスの強制終了を生き延びるために複数の高度な技術を組み合わせています。
このマルウェアは、画面がオフの状態でもフォアグラウンド状態を維持するために1ピクセルのアクティビティを利用し、MediaSession上で無音の音声を再生してプロセスの優先度を引き上げ、WakeLockを保持してサスペンドを防止し、さらにプロセスのoom_score_adjを-1000に調整することで、終了対象として最後に選ばれるよう仕向けています。
BIND_AUTO_CREATEによるクロスプロセスのバインディングと定期的なアラームを組み合わせた2プロセス相互復活メカニズムにより、サービスが終了させられても再起動する仕組みが確保されています。
BOOT_COMPLETED発生時には、アプリがワイヤレスADBを再度有効化し、ADBキーを再読み込みし、特権ヘルパーを再確立することで、起動から数秒以内に完全な機能を復元します。
コマンド&コントロール(C2)通信には、対話的な制御やストリーミング用にWebSocketが使われ、認証情報、スクリーンショット、SMS、キーログといった窃取データを受け付けるためにRESTエンドポイントが利用されています。
現行のコマンドテーブルには50種類を超えるコマンドが用意されており、リモートUI操作、オーバーレイの生成、APK管理、カメラの起動、そしてADB設定の明示的な制御などが含まれています。
シェル権限を持つサーバーが存在する場合、RedHookはMediaProjectionの同意プロンプトを回避し、RTMP経由で画面をストリーミングできるため、隠密性の高い監視の実効性がさらに高まります。
今回の進化は、攻撃者が開発者向けの利便性機能をますます武器化している傾向を浮き彫りにしています。ワイヤレスデバッグやShizuku方式のIPCの悪用は、エクスプロイトを使わずとも自動化と正規APIによって権限取得が可能であることを示しています。
防御側は、アクセシビリティとワイヤレスデバッグを高価値の攻撃ベクトルとして扱うべきです。アクセシビリティ権限を要求するアプリを監査し、ワイヤレスデバッグの有効化をブロックまたは監視し、ADBペアリングポリシーを制限し、最小権限のアプリケーション制御を徹底することが求められます。
侵害指標(IOC)
ファイル指標
- 453333bffdd1850ea2e0647f7c805530b578919978a01b1e2be52d6eb2add946
ネットワークIOC
- hxxps://api.3n7wj[.]com
- wss://skt.3n7wj[.]com
- wss://sktv.3n7wj[.]com
注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記(例: [.])としています。再度有効な表記に戻す作業は、MISP、VirusTotal、SIEMなど管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
2019年のSOC向けに書かれたSLAはもう卒業を – 2026年版AI SLA ベンダーチェックリストはこちら – 無料の AI SOC SLA ガイドをダウンロード
ネットワークセキュリティ