Обновлённый банковский троян сам включает режим разработчика и захватывает смартфон через ADB - незаметно и без лишних вопросов
Android-троян RedHook получил серьёзное обновление и стал заметно опаснее. Вредонос, впервые всплывший в июле 2025 года, научился самостоятельно активировать беспроводную ADB-отладку и выходить на уровень системных привилегий - туда, куда обычному приложению хода нет. Кампания расширяется: от Вьетнама до Индонезии, и, судя по всему, это не предел.
Что умел раньше - и что добавилось
Базовая комплектация RedHook уже не оставляла поводов для спокойствия: перехват экрана, кейлоггер, управление интерфейсом через Accessibility API, кража учётных данных. Набор для полноценной слежки. Но новые версии пошли принципиально дальше - они лезут в системный слой через инструменты, изначально созданные для разработчиков.
Схема выглядит так. Вредонос использует Accessibility-права, чтобы самому пройти по настройкам и включить режим разработчика вместе с беспроводной ADB-отладкой. Пока троян колдует в меню, пользователь видит полноэкранный оверлей - красивый экран поверх всего, за которым ничего не заметно. Дальше в ход идёт встроенный ADB-клиент и логика, напоминающая Shizuku - легитимный инструмент, позволяющий приложениям работать с ADB-демоном локально. Только если Shizuku придуман для энтузиастов, здесь та же механика работает как отмычка.
Получив привилегированный шелл с uid 2000, RedHook может делать практически что угодно:
- выдавать себе любые разрешения без участия пользователя
- менять системные настройки
- тихо устанавливать и удалять приложения
- перехватывать касания на низком уровне
- выполнять произвольные шелл-команды
Живучесть на уровне параноика
Разработчики трояна явно озаботились тем, чтобы убить его было непросто. RedHook цепляется за систему через однопиксельную активность, фоновый звук в MediaSession и WakeLock - всё это не даёт процессу умереть. Два компонента вредоноса перезапускают друг друга при сбое. После перезагрузки устройства троян поднимается сам, снова включает Wireless ADB, подгружает ключи и в считанные секунды возвращает привилегированный доступ.
Командный сервер управляет всем через WebSocket и REST. Принимает пароли, СМС, скриншоты, кейлоги. Отдаёт команды - от жестов на экране до активации камеры и установки новых APK. Полноценный удалённый рабочий стол с корневыми замашками, не требующий root.
Как попадает на устройство и почему это работает
Распространение - через социальную инженерию. Фейковые сайты под видом государственных структур и банков раздают APK, а операторы кампании дожимают жертву звонками и сообщениями, убеждая установить «официальное» приложение. Классика, которая, к сожалению, до сих пор работает.
Показательно, что RedHook не эксплуатирует незакрытые уязвимости в Android. Он злоупотребляет легальными механизмами - ADB, Accessibility, инструментами для разработчиков. Это усложняет детектирование: формально вредонос использует то, что разрешено системой. Расширение географии кампании на Индонезию говорит о том, что за ней стоит организованная группа с реальными ресурсами, а не одиночки. Юго-Восточная Азия - очевидный приоритет, но логика подобных операций редко останавливается на одном регионе.