SecBoard
Zurück zur Übersicht

RedHook Android malware now uses Wireless ADB for shell access

BleepingComputer·
Originalartikel lesen bei BleepingComputer

Die RedHook Android-Malware nutzt nun drahtloses ADB, um Shell-Zugriff auf infizierte Geräte zu erhalten. Dies ermöglicht Angreifern, ohne physische Verbindung oder Computer weitreichende Kontrolle zu erlangen. Nutzer sollten ihre Geräte regelmäßig auf verdächtige Aktivitäten überprüfen und nur Apps aus vertrauenswürdigen Quellen installieren.

Kurzfassung

Die RedHook Android-Malware nutzt nun drahtloses ADB, um Shell-Zugriff auf infizierte Geräte zu erhalten. Dies ermöglicht Angreifern, ohne physische Verbindung oder Computer weitreichende Kontrolle zu erlangen. Nutzer sollten ihre Geräte regelmäßig auf verdächtige Aktivitäten überprüfen und nur Apps aus vertrauenswürdigen Quellen installieren.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Android-Nutzer, deren Geräte mit der RedHook-Malware infiziert sind.

Warum relevant

Die Nutzung von drahtlosem ADB ermöglicht der Malware, weitreichenden Shell-Zugriff zu erlangen, ohne eine physische Verbindung zu benötigen. Dies erhöht die Heimlichkeit und Reichweite der Angriffe erheblich.

Realistisches Worst Case

Angreifer erhalten vollständigen Shell-Zugriff auf das infizierte Android-Gerät, was potenziell die Exfiltration von Daten, die Installation weiterer Malware oder die vollständige Kontrolle über das Gerät ermöglicht.

Handlungsempfehlung

Überprüfen Sie regelmäßig Android-Geräte auf verdächtige Aktivitäten und installieren Sie Apps ausschließlich aus vertrauenswürdigen Quellen. Achten Sie auf App-Berechtigungen.

Defensive Validierung / Purple-Team Checks
  • Überprüfen Sie die installierten Apps auf Android-Geräten auf unbekannte oder verdächtige Anwendungen.
  • Überprüfen Sie die Berechtigungen von Apps, insbesondere solche, die ungewöhnliche oder weitreichende Berechtigungen anfordern.
  • Stellen Sie sicher, dass die Option 'Drahtloses Debugging' (Wireless ADB) auf Android-Geräten deaktiviert ist, es sei denn, sie wird explizit und sicher für Entwicklungszwecke benötigt.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
PersistenceT1548 Abuse Elevation Control MechanismLowThis new technique allows the malware to escalate privileges more covertly.
ExecutionT1219 Remote Access SoftwareHighenabling it to gain shell access on infected devices without needing a physical computer connection.
Offene Punkte
  • Es wird nicht spezifiziert, wie die initiale Infektion mit der RedHook-Malware erfolgt.
  • Es werden keine spezifischen Versionen von Android oder Gerätemodelle genannt, die betroffen sind.
  • Es werden keine spezifischen Indikatoren für Kompromittierung (IOCs) genannt.

Red-Team-Relevanz

Was heißt das für dein nächstes Assessment?

  • Initial Access möglich?Möglich
  • Privilege Escalation relevant?Unklar
  • Exploit öffentlich verfügbar?Unklar
  • Detection / Logging prüfbar?Ja
  • Für Purple-Team-Szenario geeignet?Unklar

Kundenfragen

  • Können wir Resource Development detektieren?

MITRE ATT&CK Kill Chain (2 Techniken)

Themen
SecurityMobile