Une nouvelle version du cheval de Troie RedHook pour Android a été identifiée, et elle marque une escalade dans les techniques de piratage. Selon les chercheurs en cybersécurité de Group-IB, ce malware ne se contente plus des fonctionnalités classiques.
RedHook détourne désormais une fonction de développement légitime, le débogage sans fil ADB, pour s’octroyer des privilèges de niveau shell de manière totalement autonome, directement sur l’appareil de la victime.
Comment fonctionne cette nouvelle attaque ?
RedHook trompe l’utilisateur pour qu’il active les services d’accessibilité. Une fois cette permission obtenue, le malware peut simuler des actions de l’utilisateur. Il navigue alors automatiquement dans les paramètres du téléphone pour activer les options pour les développeurs, puis le débogage sans fil.
Normalement, le débogage ADB nécessite un ordinateur. L’astuce de RedHook, inspirée de l’outil légitime Shizuku, est de faire en sorte que le téléphone devienne son propre client ADB.
Il se connecte à lui-même via l’interface locale (127.0.0.1) pour établir la connexion et récupérer le code d’appairage, le tout à l’insu de l’utilisateur grâce à une surcouche visuelle.
Les pouvoirs obtenus par RedHook
En réussissant cette manœuvre, le malware obtient des privilèges de niveau shell (uid 2000). Ce statut, bien que n’étant pas un accès root complet, est plus puissant que celui d’une application standard.
Grâce à cela, RedHook peut installer ou désinstaller des applications en silence, modifier des paramètres de sécurité protégés et s’auto-attribuer des permissions sensibles sans afficher la moindre boîte de dialogue de confirmation.
Les chercheurs de Group-IB rapportent que la version actuelle supporte une cinquantaine de commandes distinctes émises par le serveur de contrôle. Cela comprend le streaming de l’écran en temps réel, la simulation de gestes tactiles, le vol de contacts et de SMS, le verrouillage de l’appareil, l’activation de l’appareil photo.
Une persistance robuste
RedHook utilise une pile de techniques de persistance pour s’assurer de ne jamais être arrêté par le système d’exploitation. Parmi elles, le lancement d’une activité invisible d’un seul pixel afin de se faire passer pour une application de premier plan, ou encore la lecture d’un son silencieux pour maintenir une haute priorité de processus.
Il met également en place un système de surveillance mutuelle entre deux de ses propres services. Si l’un est arrêté, l’autre le relance immédiatement.
Le malware s’assure aussi de redémarrer avec le téléphone et modifie son score oom_score_adj à -1000, ce qui le rend quasiment impossible à supprimer par le gestionnaire de mémoire d’Android en cas de ressources faibles.
Mieux vaut rester dans le Google Play Store
RedHook est distribué par le biais de faux sites gouvernementaux et financiers qui orientent eux-mêmes vers de faux sites Google Play. Actuellement, il cible principalement l’Asie du Sud-Est.