ADB, die Android Debug Bridge, ist Googles Debugging-Schnittstelle, über die sich ein Android-Gerät per Kommandozeile steuern lässt. Auf dem Gerät läuft dazu ein ADB-Daemon, der Shell-Befehle von einem Computer mit ADB-Client entgegennimmt. Wireless ADB, eingeführt mit Android 11, bietet dieselbe Funktion drahtlos und ohne USB-Kabel.
Nach Darstellung von Group-IB nutzt RedHook genau diesen Mechanismus aus. Die Malware erschleicht sich zunächst Bedienungshilfen-Berechtigungen und verwendet diese, um Einstellungen automatisch zu verändern, Entwickleroptionen einzuschalten und Wireless Debugging zu aktivieren. Danach liest sie den auf dem Bildschirm angezeigten Kopplungscode aus und verbindet sich über die Loopback-Schnittstelle 127.0.0.1 mit dem ADB-Dienst des eigenen Telefons.
Ist die Kopplung abgeschlossen, erhält RedHook Shell-Berechtigungen mit UID 2000. Diese Rechte sind deutlich mächtiger als die normaler Android-Apps, reichen aber nicht an Root-Rechte heran. Laut Group-IB funktioniert die gesamte Angriffskette ohne Root-Zugriff und damit grundsätzlich auf allen Android-Geräten, sofern Nutzer dazu gebracht werden, die angeforderte Berechtigung für den Bedienungshilfen-Dienst zu genehmigen.
Im nächsten Schritt setzt die Malware ein auf Shizuku basierendes Framework ein, um Shell-Befehle auszuführen, sich zusätzliche Berechtigungen zu geben, geschützte Android-Einstellungen zu verändern sowie Anwendungen still zu installieren oder zu entfernen. Verschiedene Aktionen lassen sich dabei ohne eingeblendete Nutzerdialoge ausführen. Shizuku selbst ist ein legitimes Android-Werkzeug, das bei fortgeschrittenen Nutzern und Entwicklern verbreitet ist und kein gerootetes Gerät erfordert.
RedHook führt im Rahmen der Angriffskette Shizuku-Code aus und verwendet ihn als privilegierten Server in Form von libmx.so, um privilegierte Android-APIs mit UID 2000 aufzurufen. Der aktuelle Stand der Malware unterstützt laut Group-IB 53 vom Server ausgegebene Befehle.
Die Analyse hebt außerdem mehrere Mechanismen zur Persistenz hervor. RedHook nutzt eine lautlose Audiowiedergabe, um die Prozesspriorität zu erhöhen, WakeLocks, um den Ruhezustand der CPU zu verhindern, sowie zwei Dienste, die sich gegenseitig neu starten, wenn einer beendet wird. Hinzu kommen ein Wächter-Alarm im Fünf-Minuten-Takt, ein automatischer Neustart nach dem Hochfahren des Geräts und die Einstellung von oom_score_adj auf -1000, um die Wahrscheinlichkeit zu senken, bei knappem Arbeitsspeicher beendet zu werden.
Verbreitet wird die aktuelle RedHook-Version über Social Engineering. Angreifer nutzen dazu Nachrichten und Telefonanrufe, in denen sie sich als Regierungsbehörden oder Finanzinstitute ausgeben und Opfer auf gefälschte Google-Play-Seiten lotsen. Group-IB empfiehlt Android-Nutzern, Apps nur aus Google Play zu installieren, angeforderte Berechtigungen bei der Installation genau zu prüfen und sicherzustellen, dass Play Protect auf dem Gerät aktiv ist.
