RedHook Android Kötü Amaçlı Yazılımı Kablosuz ADB ile Shell Erişimi Sağlıyor Siber Güvenlik

RedHook Android Kötü Amaçlı Yazılımı Kablosuz ADB ile Shell Erişimi Sağlıyor

RedHook'un yeni varyantı, Kablosuz ADB'yi kullanarak shell ayrıcalıkları kazanıyor, ekran akışı ve tuş kaydı gibi yetenekler sunuyor.

Siber güvenlik araştırmacıları, RedHook Android kötü amaçlı yazılımının yeni bir sürümünü tespit etti. Group-IB tarafından yapılan analize göre, bu varyant Android Kablosuz Hata Ayıklama (Wireless ADB) mekanizmasını istismar ederek bilgisayar bağlantısı gerektirmeden shell seviyesinde ayrıcalıklar elde ediyor. 2025'te belgelenen önceki sürüme kıyasla önemli ölçüde genişletilmiş yetenekler sunan bu zararlı yazılım, aynı zamanda uzaktan erişim truva atı (RAT) özelliklerini de koruyor.

ADB (Android Debug Bridge), Google'ın Android cihazları komut satırından kontrol etmek için kullandığı bir hata ayıklama arayüzüdür. Android 11 ile tanıtılan Kablosuz ADB, aynı işlevselliği USB kablosu olmadan kablosuz olarak sağlar. RedHook, kurbanı Erişilebilirlik izinlerini vermeye ikna ederek telefonu kendi ADB istemcisine dönüştürüyor. Bu izinler sayesinde Ayarlar'ı otomatik olarak değiştirebiliyor, Geliştirici Seçenekleri'ni etkinleştirebiliyor ve Kablosuz Hata Ayıklama'yı aktif hale getirebiliyor.

Zararlı yazılım, ekranda görüntülenen eşleştirme kodunu alıp döngü arayüzü (127.0.0.1) üzerinden telefonun ADB hizmetine bağlanıyor. Eşleştirme tamamlandıktan sonra, normal Android uygulamalarından çok daha güçlü olan ancak root seviyesinde olmayan shell (UID 2000) ayrıcalıkları elde ediyor. Saldırı zinciri, cihazın root'lu olmasını gerektirmiyor; yalnızca kullanıcının Erişilebilirlik Hizmeti izin talebini onaylaması yeterli.

Bir sonraki adımda RedHook, Shizuku tabanlı bir çerçeve kullanarak shell komutları çalıştırıyor, kendine ek izinler veriyor, korumalı Android ayarlarını değiştiriyor, uygulamaları sessizce yüklüyor veya kaldırıyor ve kullanıcı diyalogları göstermeden çeşitli işlemler gerçekleştiriyor. Shizuku, köklü cihaz gerektirmeyen, güç kullanıcıları ve geliştiriciler arasında popüler bir Android yardımcı programıdır. RedHook, Shizuku kodunu ayrıcalıklı bir sunucu (libmx.so) olarak yürütüyor ve UID 2000 olarak ayrıcalıklı Android API'lerini çağırıyor.

Group-IB raporuna göre, zararlı yazılımın mevcut sürümü 53 sunucu tarafından verilen komutu destekliyor. Bunlar arasında ekran akışı ve ekran görüntüsü alma, dokunma, kaydırma, jest, sürükleme ve uzun tıklama simülasyonu, cihaz kilitleme/açma, uygulama yükleme/başlatma/kaldırma, kişi, SMS ve uygulama toplama, sahte doğrulama diyalogları oluşturma, kamerayı etkinleştirme ve cihazı yeniden başlatma yer alıyor.

Önemli Gelişmeler

Zararlı yazılımın kalıcılık mekanizmaları da dikkat çekiyor. RedHook, işlem önceliğini artırmak için sessiz ses oynatma kullanıyor, CPU uykusunu önlemek için WakeLock'lar kullanıyor ve birbirini yeniden başlatan iki hizmet barındırıyor. Ayrıca beş dakikalık bir watchdog alarmı, cihaz önyüklemesinden sonra otomatik yeniden başlatma ve bellek düşük olduğunda öldürülme olasılığını azaltmak için oom_score_adj değerini -1000 olarak ayarlama gibi yöntemler kullanılıyor.

RedHook'un en son sürümü, sosyal mühendislik yoluyla dağıtılıyor. Saldırganlar, devlet kurumları veya finans kuruluşlarını taklit ederek mesaj ve telefon aramaları yoluyla kurbanları sahte Google Play sitelerine yönlendiriyor. Android kullanıcılarına uygulamaları yalnızca Google Play'den yüklemeleri, kurulum sırasında istenen izinleri dikkatlice incelemeleri ve Play Protect'in etkin olduğundan emin olmaları öneriliyor.

Kaynak: bleepingcomputer.com

Paylaş: