Σύνοψη
- Το RedHook είναι ένα εξελιγμένο Remote Access Trojan (RAT) για Android που αναβαθμίστηκε για να αποκτήσει πλήρη έλεγχο της συσκευής μέσω του ADB Wireless Debugging.
- Αναλαμβάνει αυτόνομα δικαιώματα επιπέδου shell (uid 2000) παρακάμπτοντας τις προειδοποιήσεις ασφαλείας του λειτουργικού συστήματος, λειτουργώντας ως το δικό του αυτόνομο ADB client.
- Η αρχική μόλυνση γίνεται μέσω social engineering (phishing), με ιστοσελίδες που μιμούνται τράπεζες, κρατικές υπηρεσίες ή το Google Play Store, πείθοντας τον χρήστη να εγκαταστήσει ένα κακόβουλο APK.
- Απαιτεί την ενεργοποίηση του Accessibility Service, το οποίο στη συνέχεια χρησιμοποιεί για να πλοηγηθεί αυτόματα στα μενού και να ενεργοποιήσει τα Developer Options.
- Μπορεί να εγκαταστήσει και να απεγκαταστήσει εφαρμογές αθόρυβα, να καταγράψει την οθόνη (keylogging/streaming) και να υποκλέψει τραπεζικούς κωδικούς (OTP) χωρίς καμία ειδοποίηση προς τον χρήστη.
- Διαθέτει εξειδικευμένα scripts προσαρμοσμένα στα λειτουργικά συστήματα (ROMs) κατασκευαστών όπως οι Samsung, Xiaomi, Google, Oppo και Vivo για την απρόσκοπτη εκτέλεση των διαδικασιών.
Το RedHook είναι ένα Remote Access Trojan (RAT) για Android που αποσπά δικαιώματα επιπέδου shell (uid 2000) κάνοντας κατάχρηση του ADB Wireless Debugging. Μετατρέπει την ίδια τη συσκευή σε ADB client μέσω του loopback interface (127.0.0.1), επιτρέποντας την αθόρυβη εγκατάσταση εφαρμογών, την τροποποίηση ρυθμίσεων ασφαλείας, την καταγραφή οθόνης και την υποκλοπή τραπεζικών κωδικών, χωρίς απολύτως καμία αλληλεπίδραση με τον κάτοχο του smartphone.
Βασικά χαρακτηριστικά:
- Μέθοδος εισβολής: Αυτοματοποιημένη ενεργοποίηση των Developer Options και του Wireless Debugging μέσω κατάχρησης του Accessibility Service.
- Επίπεδο πρόσβασης: Δικαιώματα Shell (uid 2000) που επιτρέπουν εκτεταμένες αλλαγές στο σύστημα χωρίς απαίτηση rooting.
- Αριθμός εντολών C2: Ενσωμάτωση 53 διαφορετικών εντολών απομακρυσμένου ελέγχου (αυξημένες από τις 34 της αρχικής έκδοσης του 2025).
- Συμβατότητα: Εξειδικευμένες ρουτίνες (OEM-specific scripts) για συσκευές Samsung, Xiaomi, Huawei, Google, Oppo, Vivo και Meizu.
Η αρχιτεκτονική της επίθεσης: Από το phishing στο accessibility service
Η διανομή του RedHook εντοπίζεται κατά κύριο λόγο μέσω προηγμένων τεχνικών social engineering, όπως καταγράφεται στην πρόσφατη ανάλυση της εταιρείας κυβερνοασφάλειας Group-IB. Οι επιτιθέμενοι προσεγγίζουν τα θύματα μέσω τηλεφωνικών κλήσεων ή άμεσων μηνυμάτων (SMS/Viber), προσποιούμενοι εκπροσώπους τραπεζών, παρόχων ενέργειας ή κρατικών υπηρεσιών. Στόχος είναι να καθοδηγήσουν τον χρήστη σε απατηλές ιστοσελίδες που αποτελούν πιστά αντίγραφα των επίσημων portals ή του Google Play Store.
Από αυτές τις σελίδες, ζητείται η λήψη ενός φαινομενικά νόμιμου αρχείου APK. Μόλις το κακόβουλο λογισμικό εγκατασταθεί, το πρώτο και κρισιμότερο βήμα είναι να πείσει τον χρήστη να του παραχωρήσει δικαιώματα Accessibility. Η εφαρμογή παρουσιάζει πλαστές οθόνες (overlays) που ισχυρίζονται ότι η συγκεκριμένη άδεια είναι απολύτως απαραίτητη για τη σωστή λειτουργία της. Μόλις εγκριθεί, το malware διαθέτει πλέον τη δυνατότητα να «διαβάζει» τα περιεχόμενα της οθόνης και να προσομοιώνει πατήματα στην οθόνη αφής (node layout collection & UI tree access) εν αγνοία του θύματος.
Κατάχρηση του ADB Wireless Debugging
Η σημαντικότερη τεχνολογική εξέλιξη του RedHook εντοπίζεται στην ικανότητα του να αυτονομοποιείται πλήρως χρησιμοποιώντας το Android Debug Bridge (ADB). Παραδοσιακά, το ADB απαιτεί φυσική σύνδεση με υπολογιστή μέσω καλωδίου USB, όπου ο υπολογιστής λειτουργεί ως host και επικοινωνεί με τον ADB daemon της συσκευής. Το χαρακτηριστικό Wireless Debugging, το οποίο εισήχθη για διευκόλυνση των προγραμματιστών, επιτρέπει την ίδια επικοινωνία μέσω τοπικού δικτύου.
Εδώ το RedHook εφαρμόζει μια τεχνική παρόμοια με αυτή του δημοφιλούς εργαλείου "Shizuku", το οποίο χρησιμοποιείται νόμιμα από enthusiasts για την παραχώρηση αυξημένων δικαιωμάτων σε εφαρμογές χωρίς root. Το malware ενσωματώνει το δικό του ADB client και, μέσω του ελεγχόμενου Accessibility Service, ανοίγει τις Ρυθμίσεις του Android, πατάει επτά φορές τον αριθμό κατασκευής (build number) για να ξεκλειδώσει τα Developer Options, και ενεργοποιεί το Wireless Debugging.
Στη συνέχεια, διαβάζει τον εξαψήφιο κωδικό σύζευξης από την οθόνη και συνδέεται στον ADB daemon της ίδιας της συσκευής μέσω της διεύθυνσης loopback (127.0.0.1). Με αυτόν τον τρόπο, το λογισμικό αποκτά δικαιώματα shell ή uid 2000. Αυτό το επίπεδο πρόσβασης επιτρέπει στο RedHook να παρακάμπτει εντελώς τα sandboxes των απλών εφαρμογών. Μπορεί πλέον να εγκαθιστά επιπλέον κακόβουλα πακέτα χωρίς καμία επιβεβαίωση (silent install), να διαγράφει υπάρχουσες εφαρμογές (όπως antivirus), να επιβάλλει αλλαγές σε secure settings και να δίνει στον εαυτό του οποιαδήποτε επιπλέον άδεια χρειάζεται (π.χ. κάμερα, μικρόφωνο, τοποθεσία).
Μηχανισμοί επιμονής και C2 επικοινωνία
Για να εξασφαλίσει ότι θα παραμείνει ενεργό ακόμα και αν ο χρήστης προσπαθήσει να κλείσει την εφαρμογή, το RedHook χρησιμοποιεί έναν μηχανισμό επιμονής που βασίζεται σε αρχιτεκτονική πολλαπλών διεργασιών. Συγκεκριμένα, εφαρμόζει ένα "two-service cross-process resurrection mechanism”, δηλαδή δύο διαφορετικές υπηρεσίες τρέχουν σε ξεχωριστές διεργασίες και η καθεμία συνδέεται με την άλλη μέσω της κλήσης bindService() κάνοντας χρήση του BIND_AUTO_CREATE flag. Εάν το λειτουργικό σύστημα ή ο χρήστης τερματίσει τη μία διεργασία, η άλλη φροντίζει να την επανεκκινήσει άμεσα.
Επιπρόσθετα, το malware καταχωρεί έναν broadcast receiver για το BOOT_COMPLETED. Αυτό σημαίνει ότι κατά την επανεκκίνηση του smartphone, η εφαρμογή φορτώνεται αυτόματα στη μνήμη RAM πριν προλάβει ο χρήστης να αλληλεπιδράσει με το περιβάλλον διεπαφής. Ο receiver, αμέσως μετά την εκκίνηση, ελέγχει και επανενεργοποιεί το Wireless ADB εάν αυτό έχει απενεργοποιηθεί, εξασφαλίζοντας τη συνεχή σύνδεση με τους Command and Control (C2) servers των επιτιθέμενων.
Η νεότερη έκδοση υποστηρίζει 53 ξεχωριστές εντολές απομακρυσμένου ελέγχου. Αυτές περιλαμβάνουν την καταγραφή πληκτρολογήσεων (keylogging) για την κλοπή credentials (π.χ. usernames και passwords), το ζωντανό streaming της οθόνης προς τον επιτιθέμενο, την υποκλοπή SMS (ακυρώνοντας πρακτικά την ασφάλεια του Two-Factor Authentication), και τη δυνατότητα ενεργοποίησης της κάμερας για τη λήψη φωτογραφιών. Αυτές οι φωτογραφίες μπορούν να χρησιμοποιηθούν σε μετέπειτα επιθέσεις πλαστοπροσωπείας ή σε συστήματα βιομετρικής ταυτοποίησης (e-KYC) που απαιτούν σάρωση προσώπου.
Στοχευμένα scripts ανά κατασκευαστή
Το περιβάλλον διεπαφής του Android δεν είναι ενιαίο. Διαφορετικοί κατασκευαστές χρησιμοποιούν τα δικά τους skins (όπως το One UI της Samsung, το HyperOS/MIUI της Xiaomi ή το ColorOS της Oppo), γεγονός που σημαίνει ότι η διάταξη των μενού στις Ρυθμίσεις διαφέρει. Οι προγραμματιστές του RedHook έχουν γράψει εξειδικευμένα scripts για κάθε μεγάλο κατασκευαστή ξεχωριστά.
Το malware ανιχνεύει αυτόματα τη συσκευή πάνω στην οποία τρέχει και προσαρμόζει τα Accessibility gestures του ώστε να βρίσκει τα σωστά κουμπιά και τις σωστές διαδρομές στα μενού των Samsung, Pixel, Motorola, Oppo, Vivo και Xiaomi συσκευών. Αυτό εξασφαλίζει ένα εξαιρετικά υψηλό ποσοστό επιτυχίας κατά την αυτοματοποιημένη διαδικασία ενεργοποίησης του Wireless ADB, ανεξάρτητα από το ποιο smartphone έχει αγοράσει ο χρήστης.
Με τη ματιά του Techgear
Το αναβαθμισμένο RedHook αποδεικνύει ότι τα mobile RATs περνούν σε νέο τεχνολογικό στάδιο, αντικαθιστώντας τα απλά screen overlays με πλήρη διείσδυση στα υποσυστήματα του Android. Για την ελληνική αγορά, η απειλή αυτή είναι απολύτως χειροπιαστή. Συσκευές εταιρειών όπως η Xiaomi και η Samsung, οι οποίες κατέχουν τη μερίδα του λέοντος σε πωλήσεις στη χώρα μας, υποστηρίζονται πλήρως από τα αυτοματοποιημένα scripts του malware, αυξάνοντας δραματικά τον κίνδυνο.
Ταυτόχρονα, οι τακτικές social engineering που παρατηρήθηκαν στη Νοτιοανατολική Ασία μοιάζουν απόλυτα με τις εκστρατείες smishing που βλέπουμε συχνά στην Ελλάδα. Μηνύματα SMS ή μηνύματα στο Viber που μιμούνται ελληνικές τραπεζικές οντότητες, την ΑΑΔΕ ή το Gov.gr (π.χ. για υποτιθέμενες επιστροφές φόρου ή ενημερώσεις στοιχείων), αποτελούν το ιδανικό όχημα διανομής τέτοιων κακόβουλων APK.
Η άμυνα παραμένει αυστηρά στα χέρια του χρήστη. Ο βασικός κανόνας είναι η πλήρης αποχή από την εγκατάσταση αρχείων APK (sideloading) που προέρχονται από συνδέσμους σε μηνύματα ή emails. Επιπλέον, καμία νόμιμη τραπεζική εφαρμογή ή κρατική υπηρεσία δεν πρόκειται ποτέ να ζητήσει πρόσβαση στο Accessibility Service της συσκευής σας. Εάν μια εφαρμογή επιμείνει για τη συγκεκριμένη άδεια, η άμεση απεγκατάσταση είναι η μοναδική ασφαλής οδός. Τέλος, αν έχετε ενεργοποιήσει τα Developer Options για δική σας χρήση στο παρελθόν, φροντίστε να τα απενεργοποιείτε εντελώς όταν δεν τα χρειάζεστε, κλείνοντας οριστικά αυτή την «κερκόπορτα».