A Look at Upcoming Innovations in Electric and Autonomous Vehicles RedHook вернулся. Android-трояну теперь не нужно спрашивать разрешения

RedHook вернулся. Android-трояну теперь не нужно спрашивать разрешения

RedHook вернулся. Android-трояну теперь не нужно спрашивать разрешения

Обновлённый банковский троян сам включает режим разработчика и захватывает смартфон через ADB - незаметно и без лишних вопросов

Android-троян RedHook получил серьёзное обновление и стал заметно опаснее. Вредонос, впервые всплывший в июле 2025 года, научился самостоятельно активировать беспроводную ADB-отладку и выходить на уровень системных привилегий - туда, куда обычному приложению хода нет. Кампания расширяется: от Вьетнама до Индонезии, и, судя по всему, это не предел.

Что умел раньше - и что добавилось

Базовая комплектация RedHook уже не оставляла поводов для спокойствия: перехват экрана, кейлоггер, управление интерфейсом через Accessibility API, кража учётных данных. Набор для полноценной слежки. Но новые версии пошли принципиально дальше - они лезут в системный слой через инструменты, изначально созданные для разработчиков.

Схема выглядит так. Вредонос использует Accessibility-права, чтобы самому пройти по настройкам и включить режим разработчика вместе с беспроводной ADB-отладкой. Пока троян колдует в меню, пользователь видит полноэкранный оверлей - красивый экран поверх всего, за которым ничего не заметно. Дальше в ход идёт встроенный ADB-клиент и логика, напоминающая Shizuku - легитимный инструмент, позволяющий приложениям работать с ADB-демоном локально. Только если Shizuku придуман для энтузиастов, здесь та же механика работает как отмычка.

Получив привилегированный шелл с uid 2000, RedHook может делать практически что угодно:

  • выдавать себе любые разрешения без участия пользователя
  • менять системные настройки
  • тихо устанавливать и удалять приложения
  • перехватывать касания на низком уровне
  • выполнять произвольные шелл-команды

Живучесть на уровне параноика

Разработчики трояна явно озаботились тем, чтобы убить его было непросто. RedHook цепляется за систему через однопиксельную активность, фоновый звук в MediaSession и WakeLock - всё это не даёт процессу умереть. Два компонента вредоноса перезапускают друг друга при сбое. После перезагрузки устройства троян поднимается сам, снова включает Wireless ADB, подгружает ключи и в считанные секунды возвращает привилегированный доступ.

Командный сервер управляет всем через WebSocket и REST. Принимает пароли, СМС, скриншоты, кейлоги. Отдаёт команды - от жестов на экране до активации камеры и установки новых APK. Полноценный удалённый рабочий стол с корневыми замашками, не требующий root.

Как попадает на устройство и почему это работает

Распространение - через социальную инженерию. Фейковые сайты под видом государственных структур и банков раздают APK, а операторы кампании дожимают жертву звонками и сообщениями, убеждая установить «официальное» приложение. Классика, которая, к сожалению, до сих пор работает.

Показательно, что RedHook не эксплуатирует незакрытые уязвимости в Android. Он злоупотребляет легальными механизмами - ADB, Accessibility, инструментами для разработчиков. Это усложняет детектирование: формально вредонос использует то, что разрешено системой. Расширение географии кампании на Индонезию говорит о том, что за ней стоит организованная группа с реальными ресурсами, а не одиночки. Юго-Восточная Азия - очевидный приоритет, но логика подобных операций редко останавливается на одном регионе.