Безжичният ADB (Android Debug Bridge) достъп е един от онези инструменти, които улесняват малко живота както на разработчиците, така и на ентусиастите. От друга страна, някои от тези инструменти продължават да бъдат използвани от злонамерени лица за осъществяване на мащабни финансови измами срещу нищо неподозиращи жертви. Подробен доклад разкрива един такъв зловреден софтуер.
Изследователската фирма за киберсигурност Group-IB описва подробно как този троянец за отдалечен достъп (RAT) за Android, известен като RedHook, прониква в устройствата, когато жертвите кликнат върху линкове, изпратени чрез текстови съобщения, телефонни обаждания, имейл или други социални медийни платформи. Нападателите могат да се представят за агенти от отдела за поддръжка или служители на надеждни и популярни организации, за да заблудят потребителите.
След това жертвите биват убедени да инсталират APK файл, обикновено чрез фалшив уебсайт, който може да прилича много на Google Play Store, но всъщност не е.
След като злонамереният APK файл бъде инсталиран, потребителите биват подмамени да предоставят разрешения за достъпност под претекст, че това е необходимо за нормалното функциониране на приложението. Използвайки тези разрешения, зловредният софтуер може тайно да активира безжичния ADB, като премине към „Опции за разработчици“, като по този начин получава достъп до шел (UID 2000). В този момент троянският вирус има пълен контрол над устройството, което дава на атакуващите достъп до натисканията на клавишите, заключването на екрана и стрийминг на екрана.
RedHook беше открит за първи път от изследователи от Cyble миналата година, а това изглежда е негова подобрена версия. Той използва по-хитри техники, за да направи премахването му от устройството практически невъзможно, като например използване на WakeLock, за да подмами системата да го поддържа постоянно активен. Освен това този троянец може да поддържа екрана включен, като активира пиксел с размер 1×1, който е практически незабележим запотребителя, като по този начин убеждава Android, че това е ключов процес, който не трябва да бъде прекратен.
Още по-важно е, че тази подобрена версия на RedHook използва това, което Group-IB нарича „механизъм за възстановяване между процеси с две услуги“. Просто казано, това са две функции, които могат да се възстановяват взаимно, когато едната бъде прекратена, което ги прави трудни за елиминиране.
Макар че първоначално този зловреден софтуер беше насочен към лица във Виетнам, според съобщенията нападателите оттогава са разширили дейността си и в Индонезия.
Какво можете да направите, за да сте в безопасност?
Както и при предишни атаки със зловреден софтуер, на потребителите се препоръчва винаги да изтеглят приложения от официални източници, като например Google Play Store. Проявявайте предпазливост, ако наистина се налага да изтеглите и инсталирате APK файл, и винаги следете внимателно исканията за разрешения.
Наскоро видяхме доказателства, че Android може да запълни една пролука в сигурността, като деактивира достъпа до „Опции за разработчици“ като част от функцията „Разширена защита“. Докато тази функция официално не бъде въведена в Android, най-добрият начин да се предпазите е да избягвате всякакви подозрителни връзки, които откривате в имейлите, текстовите съобщения или приложенията за социални мрежи.
Снимка: Unsplash
Виж още: Прогноза на SK Hynix: 2027-а ще е най-лошата година за онези, които търсят памети и сторидж решения