Hauptanalyse
Sicherheit & Risiko5 Min.

RedHook nutzt Wireless ADB und verwandelt Android in einen Client gegen den Besitzer

Smartphone Android sobre mesa de café mostrando tela de login bancário falso e ícone verde de opções de desenvolvedor na barra de status, com silhueta desfocada de uma pessoa ao fundo.

Eine Analyse von Group-IB, veröffentlicht am 12. Juli, beschreibt eine neue Variante des Banktrojaners. Malware aktiviert Debugging über Accessibility und erhält Shell ohne Kabel. Vietnam und Indonesien sind die aktuellen Ziele.

Group-IB hat am 12. Juli die Analyse der neuen Variante des Banktrojaners RedHook veröffentlicht, und die technische Neuheit markiert einen Wendepunkt für Betrugsbekämpfungsteams in Banken. Die Malware-Familie hat begonnen, das native Wireless ADB von Android auszunutzen, um ohne ein angeschlossenes Gerät physischen Zugriff auf die Shell zu erhalten. Bis zur vorherigen Version, die 2025 katalogisiert wurde, war diese Art der Erhöhung des Zugriffs darauf angewiesen, dass der Angreifer physische Mittel hatte, um das Gerät zu stecken. Jetzt fungiert das Smartphone selbst als ADB-Client gegen sich selbst.


Der Trick


Der Weg zur Infektion beginnt mit Social Engineering. Betreiber von RedHook geben sich als Server staatlicher Organe oder als Bankmitarbeiter in Anrufen und Nachrichten über Zalo aus, der wichtigsten Messaging-App in Vietnam, und leiten das Opfer zu gefälschten, stilisierten Websites, die wie der Google Play Store aussehen, von denen die bösartige APK durch Sideloading heruntergeladen wird. Nach der Installation verlangt die App Berechtigungen für Accessibility, jenes API-Set, das für Bildschirmleser und Benutzer mit Sehbehinderung gedacht ist und der Software umfangreiche Kontrolle darüber gibt, was angezeigt und was berührt wird.


Mit dieser Genehmigung manipuliert RedHook die Einstellungen, aktiviert die Entwickleroptionen, schaltet das Wireless Debugging ein und erfasst den auf dem Bildschirm angezeigten Pairing-Code. Von dort aus verbindet es den ADB-Dienst über die eigene Loopback-Adresse des Geräts, 127.0.0.1, und erhält Zugriff auf die Shell. Der ADB mit Shell ist für praktische Zwecke nahezu root-Zugriff: Er ermöglicht die Installation von Anwendungen ohne zusätzliche Zustimmung, das Beenden von Prozessen, die geschützt sein würden, den Zugriff zu injizieren und Bereiche des Speichers zu lesen, die außerhalb der Reichweite gewöhnlicher Apps liegen. Group-IB vermerkt, dass RedHook die klassischen Fähigkeiten eines RAT, die es bereits 2025 hatte, beibehält, einschließlich Bildschirm-Streaming, Abfangen eingegebener Tasten, UI-Automatisierung und Diebstahl von Anmeldeinformationen, die jetzt durch Persistenz über Foreground Activity Spoofing und stilles Medienwiedergaben verstärkt werden, um ein Ausschalten durch das System zu vermeiden.


Der bankenspezifische Winkel


Die bei der Analyse von Group-IB gesammelte Telemetrie zählte 570 Benutzer-IDs, die an den Command-Server berichteten, was auf mehr als 500 aktiv infizierte Geräte hinweist. Es ist ein bescheidener Umfang nach globalen Kampagnenstandards, aber ausreichend für eine regionale Betrugsoperation, und die derzeitige Verteilung zielt bevorzugt auf Bank- und Steuerbehördens-Apps in Vietnam und Indonesien ab, zwei Märkten, in denen das Wachstum des Mobile Banking schneller war als die Reife der Unternehmensbetrugsbereiche.


Für den betroffenen Bankbetrieb besteht das Problem nicht darin, dass die eigene App kompromittiert ist, sondern darin, zu sehen, wie die Anmeldeinformationen des Kunden die multifaktorielle Authentifizierung umgehen, indem sie den OTP auf dem Bildschirm erfassen und den Ablauf innerhalb der offiziellen UI automatisieren. Es ist der Standard, den Betrugsanalysten als Gerätetransaktionskompromittierung bezeichnen: Die Überweisungsanforderung wird von dem legitimen Gerät des Kunden, von der legitimen IP und mit dem vom eigenen App generierten Token authentifiziert. Keines der traditionellen Anomaliesignale erkennt die Operation als böswillig in Echtzeit, denn technisch gesehen ist sie es nicht.


Was außerhalb von Südostasien besorgt


Das Muster des RedHook interessiert Sicherheitsteams globaler Institutionen aus zwei Gründen. Erstens, die Technik ist nicht geografisch exklusiv. Wireless Debugging ist eine native Funktion von Android seit Version 11 und in jedem Gerät der Welt mit dieser Basis verfügbar, was bedeutet, dass nichts die Recompilierung derselben Familie daran hindert, sich als brasilianische, europäische oder afrikanische Banken auszugeben, sobald der finanzielle Ertrag den Aufwand rechtfertigt. Zweitens bleibt der Vektor über Accessibility der Flaschenhals. Google hat die Politik in neueren Versionen verschärft und verlangt eine Rechtfertigung für die Verwendung von Accessibility Services durch in der Play Store verteilte Apps, aber RedHook operiert außerhalb des Stores, durch Sideloading, was den Schutz sauber außer Kraft setzt.


Was Bankbetrugsteams kurzfristig tun können, ist durch die Tatsache begrenzt, dass der Besitzer des Geräts jedem Schritt zugestimmt hat. Warnungen im Produkt, wenn Wireless Debugging aktiviert wird, serverseitige Erkennung von automatisierten Tippmustern in sensiblen Abläufen, außerhalb des Bandes Validierung von hochpreisigen Transaktionen und präventive Kommunikation an Kunden über durch Sideload installierte Apps bleiben das Grundausstattung. Was diese Variante wirklich ändert, ist die Kostenstruktur für den ersten Schritt des Angreifers: Ohne von physischem Zugriff oder CVE des Anbieters abhängig zu sein, öffnet eine gut ausgeführte Social Engineering-Aktion jetzt die Shell auf einem handelsüblichen Gerät und verwandelt die multifaktorielle Authentifizierung in ein Theater. Brasilianische Banken, die stark auf OTP in Apps angewiesen sind, haben ein direktes Interesse daran, diese Kette zu betrachten, bevor dieselbe Technik übersetzt ankommt.

Hauptanalyse