RedHook Android Zararlısı ve Önemi
RedHook Android zararlısı, Android Kablosuz Hata Ayıklama (Wireless ADB) mekanizmasını istismar ederek, bilgisayar bağlantısına ihtiyaç duymadan shell düzeyinde yetkilere erişim sağlıyor. Bu, siber güvenlik alanında büyük bir tehdit oluşturuyor ve kullanıcıların dikkatli olmalarını gerektiriyor.
Saldırı Nasıl Çalışıyor?
ADB (Android Debug Bridge), kullanıcıların bir Android cihazı komut satırından kontrol etmelerini sağlayan bir hata ayıklama arayüzüdür. İlk olarak Android 11’de tanıtılan Wireless ADB, USB kablosu olmadan aynı yetenekleri kablosuz olarak sunar.
RedHook, kullanıcının Erişilebilirlik izinlerini onaylamasını sağlayarak telefonu kendi ADB istemcisine dönüştürür. Bu noktada, zararlı yazılım ekranın üstünde görünen eşleştirme kodunu alır ve telefonun ADB hizmetine döngüsel arayüz (127.0.0.1) üzerinden bağlanır.
Bir kez eşleştiğinde, zararlı yazılım UID 2000 ayrıcalıklarını kazanır; bu ayrıcalıklar normal Android uygulamalarının sunduğundan çok daha güçlüyken, root düzeyinde değildir. Tüm saldırı zinciri, cihaz köklü olmasa dahi çalışır; tek gereken, kullanıcının Erişilebilirlik Hizmeti’nin onayını vermesidir.
Etkilenen Sistemler
RedHook, daha sonra bir Shizuku tabanlı çerçeve kurarak shell komutları çalıştırma, ek izinler verme, korunan Android ayarlarını değiştirme, uygulamaları sessizce yükleyip kaldırma gibi işlemler gerçekleştirebilir.
Shizuku, köklü bir cihaz gerektirmeyen oldukça popüler bir Android yardımcı programıdır. RedHook, Shizuku kodunu saldırı zincirinin bir parçası olarak çalıştırarak, UID 2000 olarak ayrıcalıklı Android API’larını çağırıyor.
RedHook Zararlısının Komutları
Güncel RedHook sürümü, sunucu tarafından verilen 53 komut desteklemektedir. Bu komutlar arasında:
- Ekran akışı ve ekran görüntüsü alma
- Temas, kaydırma, jest simülasyonu, sürükleme ve uzun basma
- Cihaz kilitleme/askıya alma
- Uygulama yükleme, başlatma ve kaldırma
- Kişi, SMS ve uygulama toplama
- Sahte doğrulama diyalogları oluşturma
- Kamerayı etkinleştirme
- Cihazı yeniden başlatma
Zararlının birden fazla kalıcılık mekanizması da bulunmaktadır. Bu mekanizmalar arasında:
- Sesli geri bildirim ile süreci önceliklendirme
- CPU’nun uykuya geçmesini önlemek için WakeLocks kullanma
- Bir hizmet sonlandırıldığında diğerinin yeniden başlatılması
- Beş dakikalık izleme alarmı
- Cihaz önyüklemesi sonrasında otomatik yeniden başlatma
- Oom_score_adj değerinin -1000 olarak ayarlanması
Çözüm ve Korunma
RedHook, sosyal mühendislik yoluyla, hükümet kurumları veya finansal kuruluşlar taklidi yaparak, kurbanları sahte Google Play sitelerine yönlendirerek dağıtılmaktadır. Android kullanıcılarının dikkat etmesi gerekenler:
- Uygulamaları yalnızca Google Play üzerinden indirin.
- Kurulum sırasında talep edilen izinleri dikkatlice inceleyin.
- Play Protect’in cihazda etkin olduğundan emin olun.
Sonuç
Kullanıcıların, Android sistemlerini düzenli olarak güncel tutmaları, gereksiz izinleri kapatmaları ve yalnızca güvenilir kaynaklardan uygulama indirmeleri kritik öneme sahiptir. Cihazlarınıza yönelik tehditlere karşı dikkatli olun ve olası zararlılara karşı sürekli olarak kendinizi ve bilgilerinizi korumaya çalışın.


