
Android 木馬 RedHook 借無障礙權限操控 ADB 靠假網站氹人裝 APK 批權限
攻擊由越南伸到印尼,今次冇用 Android 或 ADB 漏洞
先有人手放行,木馬先行到下一步
iThome 報道引述 Group-IB 研究,新版 RedHook 已由越南活動伸到印尼;截至 7 月 14 日,研究冇列出香港受害個案。攻擊者仍要先氹用家安裝惡意 APK,再攞到無障礙權限,未做齊呢兩步,後面嗰套 ADB 操作就起唔到步。所以標成 ADB 漏洞或零點擊入侵,都會講錯重點。

圖片:Android Developers
假 Play Store 先送上惡意 APK
攻擊者會經電話或通訊 app 扮政府部門、銀行同客服,聲稱要核實身份或者開通服務,再帶用家去一個扮成 Google Play 嘅網站。惡意 APK 有時擺喺 GitHub repository 或 AWS S3,下載連結望落幾正常。不過呢啲平台只負責寄存檔案,唔會令檔案自動變安全;網址眼熟同下載順利,只代表個 server 有運作,證明唔到入面個 app 可信。

圖片:Android Developers
無障礙權限係整串操作嘅起點
無障礙服務原本用嚟幫有需要嘅人操作手機,本身有正當用途。不過 Google 官方提醒,得到呢項權限嘅 app 可以讀取屏幕內容,亦可以代用家操作其他 app。RedHook 會用教學畫面氹人開權限,之後模擬點按同手勢。Android 13 或以上會限制側載 app 存取敏感設定;如果陌生 app 再叫你揀「允許受限制設定」,嗰個警告正正係叫你停低諗清楚。
手機同自己完成 ADB 配對
攞到無障礙權限後,RedHook 會代用家連撳 build number 七次,打開開發者選項同 Wireless debugging,再揀配對碼模式及讀走屏幕上嘅六位數字。木馬同時用全屏遮罩蓋住設定頁,令用家睇唔到背後發生咩事。Android 官方文件顯示,Wireless debugging 原本要用配對碼連接開發電腦;RedHook 就內建 ADB client,經 127.0.0.1 連返手機自身嘅 ADB daemon,全程唔使駁 PC 或 USB 線。
Shell 權限夠佢靜靜改機
配對成功後,RedHook 會啟動一個以 uid 2000 運行嘅 helper。呢個身份仍然唔等於 root,但權力已高過普通 app:Group-IB 指佢可以靜默安裝或刪除 app、修改安全設定、批出敏感權限、執行 shell 指令,亦可繞過一般屏幕錄影同意視窗。研究數到 53 個遙距指令,涵蓋讀 SMS、攞聯絡人、截圖、鍵盤輸入記錄同操控介面;佢亦堆咗幾層維持運作手法,重開手機唔足以當清理完成。
ADB 同 Shizuku 都係合法工具
ADB 係 Android 正式開發工具,Shizuku 亦係開源權限工具;惡意在於 RedHook 搬咗相近概念同部分 code 入木馬,用嚟操控受害人部手機。用開 Shizuku,或者長期開住開發者選項,本身唔代表手機中毒。今次值得拆解嘅位,係 Android 一般會當畫面點按係用家自己揀;但無障礙權限一批錯,之後幾關都可能俾同一個 app 代撳。暫時公開技術細節主要來自 Group-IB,同類樣本仍要更多資安團隊交叉核實。
而家可以點避同點查
有人用政府或銀行名義催你開連結、裝 APK 或開無障礙服務,先收線,再由官方 app 或官網搵電話核實。手機設定名稱會因品牌有少少唔同,可以搜尋「無障礙」,再睇已安裝服務,關掉任何唔認得嘅項目;再搜尋「開發者選項」同「Wireless debugging」,關掉無線除錯、移除陌生配對裝置,或者撤銷 ADB 授權。平時亦應保持 Google Play Protect 開啟,佢會掃描經其他來源側載嘅 app。
如果你啱啱跟陌生人裝過 APK 或批過上述權限,先將可疑手機斷網,唔好再喺上面輸入密碼。用另一部可信裝置經官方電話聯絡銀行,處理嗰部手機登入過嘅戶口;跟住停用可疑無障礙服務、關 Wireless debugging、刪除陌生配對同惡意 app,再跑 Play Protect 掃描。如果 app 刪唔到、設定自己開返,或者手機重開後仍然古怪,應搵手機品牌支援或資安人員評估使唔使重設手機。
參考來源
- iThome — Android木馬RedHook出現新變種,濫用ADB無線偵錯取得Shell層級權限 — original report
- Group-IB:RedHook Returns with a Dangerous Upgrade — 原始技術研究,交代散播手法、ADB 配對鏈、權限、指令同活動地區。
- Android Developers:Run apps on a hardware device — 核實 Wireless debugging 嘅正常用途、配對碼要求同撤銷授權方法。
- Android Help:Learn about restricted settings — 核實無障礙權限風險同 Android 13 以上嘅受限制設定提示。
- Google Play Help:Use Google Play Protect — 核實 Play Protect 會檢查側載 app、發警告同移除有害 app。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







