RedHookのAndroidマルウェアがワイヤレスADBを悪用してシェルアクセスを取得

Androidマルウェア「RedHook」の新バージョンが、コンピュータとの接続を必要とせずにシェルレベルの権限を取得するために、Androidワイヤレスデバッグ機能(ワイヤレスADB)を新しい手法で悪用していることが分かりました。

サイバーセキュリティ企業のGroup-IBの研究者らがこのモバイルマルウェアの新リリースを分析したところ、2025年に確認された従来の亜種と比べて機能が大幅に拡張されていることが判明しました。

それと同時に、このマルウェアはリモートアクセス型トロイの木馬(RAT)としての機能も維持しており、画面のストリーミング、キーストロークの傍受、UI操作の自動化、認証情報の窃取が可能です。

自律的なワイヤレスADB悪用

ADB(Android Debug Bridge)は、コマンドラインからAndroidデバイスを操作できるGoogleのデバッグインターフェースです。

Androidデバイス上でADBデーモンとして動作するこの仕組みにより、ADBクライアントを実行しているコンピュータからシェルコマンドを実行できるようになります。

Android 11で初めて導入されたワイヤレスADBは、デバイスをUSBケーブルで接続することなく、同じ機能をワイヤレスで提供します。

RedHookは、被害者を騙してユーザー補助(アクセシビリティ)権限を許可させることで、スマートフォン自体を独自のADBクライアントに仕立て上げます。この権限により、設定を自動的に操作し、開発者向けオプションを有効化し、ワイヤレスデバッグを起動できるようになります。

その後、マルウェアは画面に表示されるペアリングコードを取得し、ループバックインターフェース(127.0.0.1)経由でスマートフォンのADBサービスに接続します。

ペアリングが完了すると、マルウェアはシェル(UID 2000)権限を取得します。この権限は通常のAndroidアプリが持つ権限よりもはるかに強力ですが、root権限には至りません。

この一連の攻撃チェーンはデバイスのroot化を必要としないため、ユーザーがユーザー補助サービスの権限要求を許可するよう騙されさえすれば、あらゆるAndroidデバイスで機能します。

次にマルウェアは、Shizukuベースのフレームワークを展開してシェルコマンドを実行し、自身にさらなる権限を付与し、保護されたAndroid設定を変更し、ユーザーに表示されるダイアログなしでアプリケーションのサイレントインストールや削除などの各種操作を行います。

Shizukuは、パワーユーザーや開発者の間で人気のある正規のAndroidユーティリティで、root化されたデバイスを必要としません。

RedHookは攻撃チェーンの一環としてShizukuのコードを実行し、権限を持つサーバー(libmx.so)として利用することで、UID 2000として権限が必要なAndroid APIを呼び出します。

Image
  • 画面のストリーミングとスクリーンショットの取得
  • タップ、スワイプ、ジェスチャー、ドラッグ、ロングクリックのシミュレート
  • デバイスのロック・ロック解除
  • アプリのインストール、起動、アンインストール
  • 連絡先、SMS、アプリ情報の収集
  • オーバーレイや偽の認証ダイアログの作成
  • カメラの起動
  • デバイスの再起動

Group-IBのレポートでは、このマルウェアが持つ複数の永続化メカニズムについても指摘されています。

RedHookは、無音の音声再生によってプロセスの優先度を上げ、WakeLockを用いてCPUのスリープを防止するほか、一方が終了するともう一方が再起動させる2つのサービスを備えています。

その他のメカニズムとしては、5分間隔のウォッチドッグアラーム、デバイス起動後の自動再起動、利用可能なシステムメモリが少ない場合に強制終了される可能性を下げるためのoom_score_adjを-1000に設定する仕組みなどが挙げられます。

最新版のRedHookは、攻撃者が政府機関や金融機関になりすましてメッセージや電話で被害者を偽のGoogle Playサイトへ誘導するという、ソーシャルエンジニアリングの手法で拡散されています。

Androidユーザーに対しては、アプリはGoogle Playからのみインストールすること、インストール時に要求される権限をよく確認すること、そしてデバイス上でPlay Protectが有効になっていることを確認することが推奨されています。

攻撃者に先んじて、あらゆるレイヤーをテストする

セキュリティチームが記録できている攻撃の成功件数は54%にとどまり、アラートが発せられるのはわずか14%です。残りは環境内を検知されずに通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/redhook-android-malware-now-uses-wireless-adb-for-shell-access/

ソース: bleepingcomputer.com