RedHook มัลแวร์ Android ใช้ Wireless ADB เพื่อควบคุมอุปกรณ์ที่ติดมัลแวร์

ยอดเข้าชม: 59 views

384/69 (IT) ประจำวันอังคารที่ 14 กรกฎาคม 2569

นักวิจัยด้านความปลอดภัยเปิดเผยมัลแวร์ Android RedHook รุ่นใหม่ใช้ Wireless Android Debug Bridge (ADB) เพื่อเข้าถึง Android Shell บนอุปกรณ์ โดยไม่จำเป็นต้องเชื่อมต่อกับคอมพิวเตอร์หรือได้รับสิทธิ์ root บนอุปกรณ์ หลังหลอกให้ผู้ใช้อนุญาตสิทธิ์ Accessibility เทคนิคดังกล่าวทำให้มัลแวร์ได้รับสิทธิ์ Shell หรือ UID 2000 ซึ่งสูงกว่าสิทธิ์ของแอป Android ทั่วไป และช่วยให้สามารถดำเนินคำสั่งหรือแก้ไขการตั้งค่าบางส่วนของระบบได้

รายงานระบุว่า RedHook แพร่กระจายผ่านการส่งข้อความและการโทรศัพท์หลอกลวงที่แอบอ้างเป็นหน่วยงานภาครัฐหรือสถาบันการเงิน โดยผู้โจมตีใช้เว็บไซต์ที่แอบอ้างเป็น Google Play เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและติดตั้งแอปอันตราย เมื่อได้รับสิทธิ์ Accessibility แล้ว มัลแวร์จะควบคุมหน้าจอเพื่อเปิด Developer Options และ Wireless Debugging อ่านรหัสจับคู่ที่แสดงบนอุปกรณ์ และเชื่อมต่อกับบริการ ADB ผ่าน Loopback Interface หลังจับคู่สำเร็จ RedHook จะใช้เฟรมเวิร์กที่พัฒนาจาก Shizuku เพื่อเรียกใช้คำสั่งด้วยสิทธิ์ Shell และเพิ่มความสามารถในการเข้าถึงหรือแก้ไขการตั้งค่าระบบที่ได้รับการป้องกัน รวมถึงติดตั้งหรือลบแอปโดยไม่แสดงหน้าต่างยืนยันแก่ผู้ใช้

ผู้ใช้งาน Android ควรติดตั้งแอปจาก Google Play หรือแหล่งที่เชื่อถือได้เท่านั้น อนุญาตเฉพาะสิทธิ์การเข้าถึงที่จำเป็นต่อการใช้งานของแอป โดยเฉพาะสิทธิ์ Accessibility พร้อมเปิดใช้งาน Google Play Protect หากพบว่า Developer Options หรือ Wireless Debugging ถูกเปิดใช้งาน มีการจับคู่ ADB ที่ไม่รู้จัก หรือมีแอปถูกติดตั้งหรือลบโดยไม่ได้ดำเนินการเอง ควรยกเลิกการจับคู่ ADB ปิด Wireless Debugging ถอนการติดตั้งแอปต้องสงสัย และตรวจสอบความปลอดภัยของอุปกรณ์ทันที

แหล่งข่าว : https://www.bleepingcomputer.com/news/security/redhook-android-malware-now-uses-wireless-adb-for-shell-access/