نسخه جدید بدافزار اندرویدی RedHook دوباره در فضای مجازی فعال شده و کاربران اندرویدی را هدف قرار داده است. ویژگی نگرانکننده RedHook این است که بدون نیاز به روت یا کامپیوتر، از قابلیتهای قانونی اندروید برای رسیدن به سطح دسترسی بالاتر سوءاستفاده میکند.
نسخه جدید بدافزار اندرویدی RedHook با سوءاستفاده از قابلیت Wireless ADB، بدون نیاز به اتصال گوشی به کامپیوتر، به سطح دسترسی Shell میرسد و کنترل بسیار بیشتری نسبت به اپلیکیشنهای عادی به دست میآورد.

به گزارش پژوهشگران شرکت امنیت سایبری Group-IB، نسخه جدید و پیشرفتهتر RedHook در مقایسه با نمونه قبلی که در سال ۲۰۲۵ شناسایی شده بود، قابلیتهای گستردهتری دارد. این بدافزار همچنان ویژگیهای یک تروجان دسترسی از راه دور یا RAT را حفظ کرده و میتواند تصویر صفحه نمایش دستگاه قربانی را استریم کند، کلیدهای فشردهشده را رهگیری کند، تعاملات رابط کاربری را شبیهسازی کند و اطلاعات ورود کاربر را به سرقت ببرد.
حمله به قربانیان اندرویدی با کمک ADB
به گزارش وبسایت Bleepingcomputer، مکانیزم حمله RedHook بر پایه ADB یا Android Debug Bridge شکل گرفته است؛ رابطی که گوگل برای کنترل و رفعاشکال دستگاههای اندرویدی از طریق خط فرمان ارائه میکند. قابلیت Wireless ADB که از اندروید ۱۱ در دسترس قرار گرفته، همین امکان را بهصورت بیسیم و بدون کابل USB فراهم میکند.
در همین رابطه بخوانید:
– بهترین گوشی های موبایل پیشنهادی بازار ایران بر اساس قیمت + مشاوره
RedHook با فریب کاربر برای اعطای مجوز Accessibility، تنظیمات گوشی را بهطور خودکار دستکاری میکند، گزینههای توسعهدهنده را فعال میسازد و Wireless Debugging را روشن میکند. سپس کد همگامسازی نمایش داده شده روی صفحه را استخراج کرده و از طریق آدرس 127.0.0.1 به سرویس ADB همان دستگاه متصل میشود. به این ترتیب، بدافزار بدون نیاز به روت یا اتصال خارجی، دسترسی Shell با UID 2000 را به دست میآورد.

در مرحله بعد، RedHook از ابزار قانونی Shizuku برای اجرای فرمانهای پیشرفته استفاده میکند؛ ابزاری که میان کاربران حرفهای اندروید شناختهشده است. این بدافزار با تکیه بر Shizuku میتواند تنظیمات محافظتشده را تغییر دهد، مجوزهای بیشتری به دست آورد و حتی برنامهها را بیسروصدا نصب یا حذف کند.
طبق گزارش Group-IB نسخه فعلی RedHook از ۵۳ فرمان پشتیبانی میکند؛ از جمله استریم و ثبت تصویر از صفحه گوشی، شبیهسازی لمس و جابهجایی بین صفحات، قفل یا باز کردن دستگاه، نصب و حذف اپلیکیشنها و فعالسازی دوربین بدون اطلاعات کاربران. به عبارت سادهتر، این بدافزار کنترل کامل دستگاه اندرویدی را به دست گرفته و میتواند برای سواستفاده از آن بهرهمند شود. این بدافزار همچنین از چندین روش برای ماندگاری روی دستگاه نیز استفاده میکند.
در همین رابطه بخوانید:
– گوشی خود را کاملاً ایمن کنید: ۱۱ لایه حفاظتی برای ایمنسازی کامل دستگاه
– آیا گوشی اندروید به آنتی ویروس نیاز دارد؟
RedHook از طریق مهندسی اجتماعی توزیع میشود؛ مهاجمان با پیام یا تماس تلفنی و با جعل هویت نهادهای دولتی یا مالی، قربانی را به وبسایتهای جعلی مشابه Google Play هدایت میکنند. به کاربران اندروید توصیه میشود اپلیکیشنها را فقط از Google Play نصب کنند، مجوزها را با دقت بررسی کنند و از فعال بودن Play Protect مطمئن شوند.
نظرات کاربران