Uma nova versão do malware para Android RedHook explora de forma inédita o mecanismo de Depuração Sem Fio do Android, conhecido como Wireless ADB, para obter privilégios de nível shell sem exigir conexão com um computador.
Pesquisadores da empresa de cibersegurança Group-IB analisaram a nova versão do malware móvel e afirmam que ela amplia significativamente suas capacidades em relação à variante anterior documentada em 2025.
Ao mesmo tempo, o malware mantém suas funções de trojan de acesso remoto, o que lhe permite transmitir a tela, interceptar o que é digitado, automatizar interações com a interface e roubar credenciais.
ADB, sigla para Android Debug Bridge, é a interface de depuração do Google que permite controlar um dispositivo Android a partir de uma linha de comando.
Esse sistema, executado em um dispositivo Android como um daemon do ADB, possibilita a execução de comandos shell a partir de um computador com o cliente do ADB.
O Wireless ADB, introduzido pela primeira vez no Android 11, oferece a mesma capacidade de forma sem fio, sem exigir que os dispositivos estejam ligados por cabo USB.
Na prática, o RedHook transforma o próprio celular em cliente do ADB ao enganar a vítima para conceder permissões de Acessibilidade.
Com isso, o malware consegue manipular automaticamente as Configurações, ativar as Opções do desenvolvedor e habilitar a Depuração Sem Fio.
Depois disso, o malware obtém o código de pareamento exibido na tela e se conecta ao serviço do ADB do aparelho por meio da interface de loopback, 127.0.0.1.
Uma vez pareado, o malware passa a ter privilégios de shell, UID 2000, que são muito mais poderosos do que os disponíveis para aplicativos Android comuns, embora não sejam equivalentes a root.
Toda a cadeia de ataque não exige que o dispositivo esteja com root, o que faz com que ela funcione em qualquer aparelho Android, desde que o usuário seja induzido a aprovar a solicitação de permissão do Serviço de Acessibilidade.
Em seguida, o malware implanta um framework baseado em Shizuku para executar comandos shell, conceder a si mesmo permissões adicionais, modificar configurações protegidas do Android, instalar ou remover aplicativos de forma silenciosa e realizar diversas ações sem exibir diálogos ao usuário.
Shizuku é um utilitário legítimo do Android, popular entre usuários avançados e desenvolvedores, e não exige um dispositivo com root.
O RedHook executa código do Shizuku como parte da cadeia de ataque, usando-o como um servidor privilegiado, libmx.so, para acionar APIs privilegiadas do Android como UID 2000.
Segundo o relatório da Group-IB, a versão atual do malware suporta 53 comandos enviados pelo servidor, incluindo:
Transmissão da tela e captura de capturas de tela
Simulação de toques, deslizes, gestos, arrastos e cliques longos
Bloqueio e desbloqueio do dispositivo
Instalação, execução e desinstalação de aplicativos
Coleta de contatos, SMS e aplicativos
Criação de sobreposições ou falsas telas de verificação
Ativação da câmera
Reinicialização do dispositivo
O relatório da Group-IB também destaca os múltiplos mecanismos de persistência do malware.
O RedHook usa reprodução silenciosa de áudio para aumentar a prioridade do processo, WakeLocks para impedir que a CPU entre em repouso e dois serviços que reiniciam um ao outro quando um é encerrado.
Outros mecanismos incluem um alarme de vigilância a cada cinco minutos, reinicialização automática após a inicialização do dispositivo e a definição de oom_score_adj para -1000, reduzindo a chance de que o processo seja finalizado quando a memória do sistema estiver baixa.
A versão mais recente do RedHook é distribuída por meio de engenharia social, com mensagens e chamadas telefônicas em que os atacantes se passam por órgãos governamentais ou instituições financeiras para direcionar as vítimas a sites falsos do Google Play.
Usuários de Android são orientados a instalar aplicativos apenas pelo Google Play, verificar com atenção as permissões solicitadas na instalação e garantir que o Play Protect esteja ativado no dispositivo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...