ADB Wireless Debugging: Mối Đe Dọa Mạng Nguy Hiểm Mới

ADB Wireless Debugging: Mối Đe Dọa Mạng Nguy Hiểm Mới

Một mã độc ngân hàng Android có tên RedHook đã quay trở lại với một kỹ thuật mới nguy hiểm, chiếm quyền điều khiển một tính năng phát triển hợp pháp để âm thầm nắm quyền kiểm soát sâu sâu vào điện thoại bị nhiễm. Kỹ thuật này sử dụng ADB Wireless Debugging, một công cụ được tích hợp sẵn cho các nhà phát triển ứng dụng, thay vì dựa vào các lỗ hổng khai thác phức tạp để giành lấy các đặc quyền mà thông thường chỉ dành cho các tiến trình cấp hệ thống. Sự thay đổi này đánh dấu một bước leo thang đáng chú ý so với các phiên bản trước của mã độc, vốn chỉ tập trung vào giám sát màn hình và đánh cắp phím gõ. Đây là một mối đe dọa mạng mới cần được cộng đồng quan tâm.

RedHook: Một Nâng Cấp Đáng Gờm

RedHook lần đầu tiên được các nhà nghiên cứu phát hiện vào tháng 7 năm 2025, nhưng hình thức mới nhất cho thấy một cách tiếp cận có tính toán hơn nhiều đối với việc lạm dụng đặc quyền. Mã độc này hiện tích hợp mã từ Shizuku, một công cụ mã nguồn mở phổ biến mà những người đam mê Android sử dụng để mở khóa các quyền nâng cao mà không cần root thiết bị.

Bằng cách mượn kỹ thuật này, RedHook có thể âm thầm cài đặt ứng dụng, thay đổi cài đặt bảo mật và cấp cho nó các quyền nhạy cảm mà không cần bất kỳ thông báo hoặc xác nhận nào từ phía nạn nhân. Các nhà phân tích đã ghi nhận rằng phạm vi nhắm mục tiêu của RedHook đã mở rộng, không chỉ giới hạn ở Việt Nam mà còn bao gồm người dùng ở Indonesia, cho thấy một nỗ lực lớn hơn trên khắp Đông Nam Á. Đây là một ví dụ điển hình về an ninh mạng đang đối mặt với những thách thức mới.

Phương Thức Phân Phối và Lừa Đảo

Ứng dụng độc hại này được phân phối thông qua kỹ thuật kỹ thuật xã hội. Kẻ tấn công mạo danh các quan chức chính phủ hoặc nhân viên hỗ trợ ngân hàng qua các cuộc gọi điện thoại và ứng dụng nhắn tin. Nạn nhân bị hướng dẫn truy cập các trang web giả mạo, được thiết kế giống với Cửa hàng Google Play. Tại đây, họ bị lừa tải xuống một tệp APK độc hại.

Chi Tiết Kỹ Thuật Khai Thác

ADB (Android Debug Bridge) thường cho phép máy tính điều khiển điện thoại thông qua giao diện dòng lệnh. Tính năng Wireless Debugging mở rộng kết nối này qua mạng thay vì cáp USB. RedHook biến tính năng dành cho nhà phát triển này thành một công cụ tấn công bằng cách chạy các thao tác chạm tự động thông qua dịch vụ Accessibility. Nó kích hoạt Developer Options, bật Wireless Debugging và tự ghép nối như thể là một máy tính được ủy quyền. Trong khi đó, một lớp phủ màn hình ẩn sẽ giữ cho nạn nhân không hề hay biết.

Sau khi ghép nối, mã độc sẽ khởi chạy tiến trình shell có đặc quyền của riêng nó, được biết đến với tên uid 2000. Điều này cho phép nó hoạt động như một người dùng hệ thống đáng tin cậy mà Android cấp nhiều quyền tự do hơn so với các ứng dụng thông thường. Từ vị trí này, RedHook có thể cài đặt hoặc gỡ bỏ ứng dụng, thay đổi cài đặt thiết bị bảo mật và thu thập dữ liệu đầu vào cảm ứng thô mà không cần sự chấp thuận của người dùng.

Mã độc cũng bao gồm mã đặc trưng cho từng nhà sản xuất thiết bị, nhằm mục đích kích hoạt Wireless Debugging trên các thiết bị của Google, Huawei, Meizu, Oppo, Samsung, Vivo và Xiaomi. Tuy nhiên, các chức năng này hiện chưa được kích hoạt và dường như được dự trữ cho các chiến dịch trong tương lai. Đây là một dấu hiệu cho thấy sự phát triển liên tục của các cuộc tấn công mạng.

Chiến Lược Tồn Tại và Giao Tiếp

RedHook củng cố khả năng lạm dụng đặc quyền của mình bằng một chiến lược tồn tại đặc biệt kiên cường. Nó duy trì hoạt động bằng cách giả mạo một hoạt động màn hình một pixel gần như vô hình, phát âm thanh thầm lặng ở chế độ nền và giữ một wake lock để trình tiết kiệm pin của Android không bao giờ tắt nó. Hai dịch vụ nội bộ của nó cũng giám sát lẫn nhau, tự động khởi chạy lại tiến trình đối tác nếu nó bị chấm dứt, tạo ra một vòng lặp khó có thể dừng hoàn toàn.

Để giao tiếp, mã độc sử dụng các kết nối WebSocket cho việc truyền phát màn hình và phân phối lệnh. Trong khi đó, dữ liệu bị đánh cắp với khối lượng lớn hơn, chẳng hạn như mật khẩu và tin nhắn, được gửi đến các địa chỉ web chuyên dụng. Với các đặc quyền cấp shell được kích hoạt, nó cũng có thể truyền phát video qua RTMP, bỏ qua màn hình đồng thuận thông thường mà Android hiển thị khi một ứng dụng cố gắng ghi lại màn hình.

Khuyến Nghị Bảo Mật

Các tổ chức tài chính nên triển khai các công cụ giám sát phiên để phát hiện hoạt động của mã độc trước khi khách hàng nhập thông tin nhạy cảm. Kết hợp điều này với digital risk protection để phát hiện các trang web giả mạo sao chép thương hiệu của họ.

Đối với người dùng cá nhân, lời khuyên đơn giản nhưng quan trọng: tránh nhấp vào các liên kết không quen thuộc, chỉ cài đặt ứng dụng từ các cửa hàng chính thức và luôn cảnh giác với bất kỳ yêu cầu nào về quyền Accessibility Service.

RedHook cho thấy kẻ tấn công dễ dàng biến các công cụ phát triển thông thường thành vũ khí như thế nào. Các tính năng như Accessibility và Wireless Debugging xứng đáng được xem xét kỹ lưỡng hơn trong tương lai. Các chuyên gia bảo mật cần tiếp tục cảnh giác khi các kỹ thuật lạm dụng này không ngừng phát triển.

Indicators of Compromise (IoCs)

  • Một báo cáo chi tiết về RedHook và các kỹ thuật của nó có thể được tìm thấy tại: Group-IB Blog.

Lưu ý: Địa chỉ IP và tên miền được làm mờ một cách cố ý (ví dụ: [.]) để ngăn chặn việc phân giải hoặc tạo liên kết ngoài ý muốn. Chỉ nên phục hồi định dạng ban đầu trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.