Android-троян RedHook научился использовать режим разработчика для получения расширенных привилегий

10.07.2026

ChatGPT Image 10 июл. 2026 г., 08_53_04.png

Вредоносное ПО RedHook для Android получило новые функции, которые делают его ещё опаснее для пользователей. Троян, впервые подробно описанный в июле 2025 года, теперь способен самостоятельно активировать беспроводную ADB-отладку (Wireless Debugging) и получать shell-доступ с правами пользователя uid 2000. Вместо обычной кражи данных он использует штатные инструменты Android, предназначенные для разработчиков, чтобы получить более глубокий доступ к системе.
Ранее возможности RedHook уже представляли серьёзную угрозу. Вредонос умел транслировать изображение с экрана, перехватывать ввод с клавиатуры, использовать службы Accessibility для управления интерфейсом и похищать учетные данные пользователей. Однако в новых версиях функциональность была значительно расширена.
Используя разрешения Accessibility, троян самостоятельно открывает настройки устройства, включает режим разработчика и активирует Wireless ADB. Все эти действия выполняются незаметно для пользователя — поверх системного интерфейса отображается полноэкранный оверлей, скрывающий происходящие изменения.
После этого вредонос запускает встроенный ADB-клиент, применяя подход, схожий с работой легитимного инструмента Shizuku, который позволяет приложениям взаимодействовать с локальным ADB-демоном. Если в обычных условиях такая технология используется разработчиками и опытными пользователями, то RedHook превращает её в инструмент для получения дополнительных привилегий.
После запуска серверного процесса троян получает возможность самостоятельно выдавать себе разрешения, изменять системные параметры, выполнять shell-команды, незаметно устанавливать и удалять приложения, а также перехватывать низкоуровневые касания экрана без появления новых запросов на предоставление доступа.
Распространение RedHook по-прежнему строится на методах социальной инженерии. Пользователей убеждают установить APK-файл, размещённый на поддельных сайтах государственных учреждений и финансовых организаций. Дополнительно злоумышленники сопровождают атаку телефонными звонками или сообщениями, убеждая жертву завершить установку приложения. По данным Group-IB, если ранее кампания была сосредоточена во Вьетнаме, то теперь её активность распространилась и на Индонезию, что может свидетельствовать о расширении атак в странах Юго-Восточной Азии.
Для сохранения устойчивости вредонос использует сразу несколько механизмов. Среди них — однопиксельная активность, воспроизведение бесшумного аудио через MediaSession, использование WakeLock, взаимный перезапуск процессов и автоматическое восстановление после перезагрузки устройства. После каждого запуска смартфона RedHook вновь активирует Wireless ADB, загружает необходимые ключи и практически сразу восстанавливает привилегированный доступ к системе.
Управление трояном осуществляется через командный сервер, взаимодействующий с заражённым устройством по протоколам WebSocket и REST. Через него злоумышленники получают пароли, SMS-сообщения, снимки экрана и данные кейлоггера, а также могут удалённо выполнять различные команды — от имитации действий пользователя на экране до включения камеры и установки новых APK-файлов.