מומחי אבטחת מידע מחברת הסייבר Group-IB חשפו גרסה חדשה ומתוחכמת במיוחד של הטרויאני לשליטה מרחוק (RAT) למכשירי אנדרואיד, המכונה RedHook.

הנוזקה, שגרסתה המוקדמת תועדה לראשונה במהלך שנת 2025, עברה שדרוג ארכיטקטוני משמעותי וכעת היא מנצלת לרעה את מנגנון הניפוי האלחוטי הרשמי של גוגל, Wireless ADB, כדי להשיג הרשאות מערכת גבוהות במכשיר, ללא צורך בחיבור למחשב או בפריצת רוט (Root).
השימוש בשיטה זו מאפשר לתוקפים לעקוף את הגנות ברירת המחדל של מערכת ההפעלה, לבצע פעולות בשם המשתמש ברקע, ולנהל מעקב צמוד אחר פעולות הקורבן.
שיטת הפעולה: הפיכת הטלפון לשרת הניפוי של עצמו
מנגנון ה-ADB (Android Debug Bridge) פותח על ידי גוגל כדי לאפשר למפתחים לשלוט במכשיר ולהריץ פקודות קוד משורת הפקודה. החל מגרסת אנדרואיד 11, גוגל הציגה את אפשרות ה-Wireless ADB, המאפשרת את אותו החיבור באופן אלחוטי.
נוזקת RedHook מנצלת את התשתית הזו בצורה ייחודית ואוטונומית לחלוטין:
- הנדסה חברתית והרשאות נגישות: הנוזקה מופצת באמצעות אתרי Google Play מזויפים. לאחר ההתקנה, היא מטעה את המשתמש להעניק לה הרשאות נגישות (Accessibility Services).
- הפעלה אוטומטית של הגדרות מפתח: באמצעות הרשאות הנגישות, הנוזקה מנווטת בעצמה בתוך תפריט ההגדרות של המכשיר, מפעילה את "אפשרויות מפתח" (Developer Options) ומדליקה את ה-Wireless Debugging.
- חיבור פנימי (Loopback): הנוזקה קוראת את קוד הצימוד (Pairing Code) המופיע על המסך ומתחברת לשירות ה-ADB של המכשיר עצמו דרך כתובת הלופבק הפנימית (127.0.0.1).
ברגע שהצימוד מושלם, הנוזקה מקבלת הרשאות מעטפת של משתמש מערכת (UID 2000). הרשאות אלו חזקות בהרבה מהרשאות של אפליקציה רגילה, ומאפשרות לה להריץ פקודות קוד רגישות מבלי להזדקק לפריצת המכשיר. כדי להוציא לפועל את הפקודות, הנוזקה מטמיעה בתוכה רכיבים המבוססים על הכלי המוכר Shizuku, המשמש כשרת פנימי מורשה להרצת פקודות API מול מערכת ההפעלה.
יכולות התקיפה: 53 פקודות שליטה מרחוק
הדו"ח של Group-IB מפרט כי גרסתו הנוכחית של הטרויאני תומכת ב-53 פקודות שונות הנשלחות משרת השליטה והבקרה (C2) של התוקפים. היכולות המרכזיות כוללות:
- הזרמת מסך וצילום: שידור חי של מסך המכשיר לתוקפים וביצוע צילומי מסך בזמן אמת.
- הדמיית פעולות משתמש: ביצוע אוטומטי של לחיצות, גרירות, מחוות ודפדוף במסך כדי לעקוף מנגנוני אימות.
- גניבת מידע: איסוף רשימות אנשי קשר, הודעות SMS (כולל קודי אימות דו-שלבי) והיסטוריית שיחות.
- הזרקת מסכים מזויפים: יצירת חלוניות אימות מזויפות (Overlays) על גבי אפליקציות בנקים כדי לגנוב פרטי גישה.
- הפעלה מרחוק: הפעלת המצלמה, נעילה או פתיחה של המכשיר, והתקנה או הסרה שקטה של אפליקציות.
מנגנוני שרידות מתקדמים בשירות הנוזקה
כדי למנוע ממערכת ההפעלה או מתוכנות אבטחה לסגור את התהליך שלה, RedHook עושה שימוש במערך אגרסיבי של טכניקות שרידות:
הנוזקה מפעילה קובץ שמע שקט ברקע כדי להעלות את עדיפות המעבד של האפליקציה (Process Priority) ומשתמשת במנגנון WakeLocks כדי למנוע מהמעבד להיכנס למצב שינה. בנוסף, היא מריצה שני שירותים פנימיים המגנים אחד על השני, אם שירות אחד נסגר, השני מקפיץ אותו מחדש באופן מיידי. הנוזקה גם מגדירה שעון מעורר פנימי לבדיקת תקינות מדי 5 דקות, ומגדירה את ערך ה-oom_score_adj ל-1000-, מה שמבטיח שמערכת האנדרואיד לא תסגור אותה גם כאשר זיכרון ה-RAM של המכשיר כמעט מלא.
התוקפים מפיצים את הגרסה החדשה בעיקר באמצעות שיחות טלפון והודעות פישינג, תוך התחזות לנציגי ממשל או מוסדות פיננסיים, במטרה לשכנע את המשתמשים להתקין את קובץ ה-APK הזדוני. מומחי אבטחה ממליצים למשתמשי אנדרואיד להקפיד על הורדת אפליקציות מחנות Google Play הרשמית בלבד, להימנע לחלוטין מאישור הרשאות נגישות לאפליקציות לא מוכרות, ולוודא כי שירות Play Protect פעיל ומעודכן במכשיר.



