RedHook Android RAT
Group-IB elemzése szerint a RedHook Android RAT jelentős fejlődésen ment keresztül, és már nem csupán banki adatok vagy hitelesítő információk megszerzésére képes, hanem az Android rendszer magasabb jogosultsági szintjeinek automatikus megszerzésére is. A korábbi verziókhoz képest a legnagyobb változás, hogy a kártevő kihasználja az Android Wireless Debugging funkcióját és a Shizuku keretrendszert, így felhasználói beavatkozás nélkül shell szintű jogosultságot szerezhet. Ez lehetővé teszi olyan műveletek végrehajtását is, amelyekhez normál alkalmazások nem férhetnek hozzá, miközben nincs szükség a készülék rootolására.
A megszerzett jogosultságok birtokában a RedHook képes képernyőképek és valós idejű képernyőfolyam továbbítására, billentyűleütések naplózására, az Accessibility Service segítségével a felhasználói felület automatikus vezérlésére, alkalmazások indítására vagy leállítására, értesítések kezelésére, fájlműveletek végrehajtására, valamint tetszőleges parancsok futtatására az ADB shell környezetében. A malware kiterjedt perzisztencia-mechanizmusokat alkalmaz, figyeli saját állapotát, újraindítja a szükséges komponenseket, és több módszerrel is igyekszik megakadályozni az eltávolítását. A kommunikációt titkosított parancs- és vezérlőszerverrel folytatja, amelyről dinamikusan tölti le az utasításokat és a konfigurációt.
A kutatás szerint a RedHook fejlődése jól mutatja az Android kártevők új irányát. A támadók már nem kizárólag jogosultságkérésekkel vagy overlay technikákkal próbálnak adatot lopni, hanem a rendszer legitim funkcióit felhasználva magasabb jogosultsági szintet érnek el, amellyel jelentősen kibővül a támadási lehetőségek köre. Ez a megközelítés megnehezíti a hagyományos mobilvédelmi megoldások számára a rosszindulatú tevékenység felismerését, mivel a műveletek nagy része hivatalos Android szolgáltatásokon keresztül történik. A Group-IB szerint a RedHook mára teljes értékű Android RAT-ként működik, amely a mobileszköz felett közel teljes körű távoli irányítást biztosít a támadók számára, ezért a mobil fenyegetések között az egyik legfejlettebb jelenlegi megoldásnak tekinthető.