RedHook Android malware now uses Wireless ADB for shell access
Mis à jour :
RedHook : Le malware Android détourne le débogage sans fil
Une nouvelle variante du logiciel malveillant RedHook exploite le mécanisme de débogage sans fil (Wireless ADB) d’Android pour obtenir des privilèges système étendus sans nécessiter de connexion physique ou de droits “root”. Ce cheval de Troie d’accès à distance (RAT) manipule les autorisations d’accessibilité pour automatiser l’activation des options développeur, permettant une prise de contrôle quasi totale du terminal.
Points clés :
- Auto-élévation de privilèges : Le malware utilise l’interface ADB via l’interface locale (loopback) pour s’octroyer des privilèges shell (UID 2000).
- Abus de Shizuku : Il intègre l’utilitaire légitime Shizuku pour invoquer des API Android privilégiées et exécuter des commandes système sans interaction utilisateur.
- Capacités étendues : Supporte 53 commandes distantes, incluant l’enregistrement d’écran, l’interception de saisies, la manipulation d’applications et le contournement des interfaces de sécurité.
- Persistance agressive : Utilise des techniques variées (WakeLocks, processus auto-redémarrables, priorité système élevée) pour maintenir son activité en arrière-plan.
- Vecteur d’attaque : Distribution via ingénierie sociale (appels ou messages) incitant les victimes à installer des applications depuis de faux sites Google Play.
Vulnérabilités :
- Le malware exploite les fonctionnalités de conception d’Android (Accessibilité et ADB sans fil). Aucune CVE spécifique n’est mentionnée, car il s’agit d’un détournement de fonctionnalités légitimes plutôt que de l’exploitation d’une faille logicielle.
Recommandations :
- Source sécurisée : Installer uniquement des applications via le Google Play Store officiel.
- Vigilance sur les permissions : Examiner attentivement les demandes d’accès, particulièrement celles concernant les services d’accessibilité, qui sont souvent le point d’entrée de ce type d’attaque.
- Protection active : S’assurer que l’outil Google Play Protect est activé sur l’appareil.
- Méfiance accrue : Ne pas suivre de liens ou de consignes d’installation provenant de communications non sollicitées, même si elles se présentent comme émanant d’organismes officiels.
