Перейти к основному контенту
LiMP VPN
Все новости

RedHook: троян сам включает отладку и захватывает Android

RedHook: троян сам включает отладку и захватывает Android

Коротко: В июле 2026 года исследователи описали обновлённый Android-троян RedHook, который через службу специальных возможностей сам включает «Отладку по Wi-Fi» и получает shell-права на смартфоне. После этого он тихо выдаёт себе разрешения, ставит и удаляет приложения и крадёт банковские данные — без единого запроса. Лучшая защита — не выдавать Accessibility незнакомым приложениям и ставить APK только из официальных магазинов.

Что произошло

Аналитики опубликовали разбор новой сборки RedHook — Android-трояна для кражи банковских данных, впервые описанного ещё в июле 2025 года. Свежая версия получила опасное обновление: ей больше не нужно, чтобы пользователь вручную включал режим разработчика. С помощью службы специальных возможностей вредонос сам «нажимает» по настройкам, разблокирует «Для разработчиков», включает «Отладку по Wi-Fi» и вытаскивает код сопряжения — а жертва ничего не видит за полноэкранным оверлеем. Чтобы понять, как шпионы и трекеры вообще попадают на телефон, начните с нашего гайда как защитить телефон от слежки.

Троян распространяется через социальную инженерию: злоумышленники звонят или пишут жертве, представляются банком или поддержкой и уговаривают установить вредоносный APK с поддельного сайта. Впервые технику заметили в атаках на пользователей Юго-Восточной Азии, но сам приём универсален — под угрозой любой владелец Android, который ставит приложение из сомнительного источника.

Как RedHook захватывает смартфон

Ключевой приём — злоупотребление ADB (Android Debug Bridge) по Wi-Fi. Как только «Отладка по Wi-Fi» включена, вредонос встроенным ADB-клиентом подключается к собственному loopback-интерфейсу устройства и, используя код открытого фреймворка Shizuku, запускает привилегированный служебный процесс. Это даёт ему shell-права (uid 2000).

После этого RedHook может выдавать себе любые разрешения, писать в защищённые системные настройки, выполнять произвольные shell-команды и молча ставить или удалять приложения — без запросов безопасности и окон подтверждения. Чтобы выжить, он удерживает WakeLock, проигрывает беззвучный звук для повышения приоритета и заново включает беспроводную отладку после каждой перезагрузки.

Чем это опасно для ваших данных

Shell-доступ фактически отдаёт телефон в руки злоумышленника. RedHook — банковский троян: он накладывает поддельные окна входа на банковские приложения, перехватывает SMS и одноразовые коды, логирует нажатия и считывает данные с экрана. Это открывает путь к вашим счетам, переписке и деньгам. А поскольку разрешения он выдаёт себе сам, привычный совет «просто не подтверждать подозрительные запросы» уже не спасает полностью. Если подозреваете, что ваши данные где-то всплыли, сверьтесь с разбором как проверить утечку персональных данных.

Как защититься?

Ставьте приложения только из официальных магазинов. RedHook живёт в APK с поддельных сайтов и ссылок в мессенджерах. Google Play и проверенные магазины вендоров гораздо безопаснее; отключите установку из неизвестных источников.

Не выдавайте Accessibility приложениям, которым это явно не нужно. Именно это разрешение позволяет трояну управлять вашими настройками. Фонарику, «обновлению банка» или «доставке» оно ни к чему.

Не поддавайтесь давлению. Настоящий банк никогда не звонит, чтобы заставить вас установить APK. Положите трубку и наберите номер с обратной стороны карты сами.

Обновляйте Android и Google Play Защиту и проверяйте, у каких приложений есть доступ к специальным возможностям и к «Для разработчиков». Базовую гигиену устройства мы разбираем и в пошаговом гайде как настроить VPN на Android.

Причём здесь VPN?

VPN не удалит троян, который уже оказался на телефоне — это задача аккуратной установки приложений и мобильного антивируса. Но VPN закрывает сетевую часть риска: шифрует трафик в недоверенных Wi-Fi, чтобы логины и коды нельзя было перехватить по пути, и скрывает реальный IP от сайтов и провайдера, сокращая объём данных, которые о вас можно собрать. Как это устроено у LiMP VPN, смотрите в описании возможностей, а тариф выбирайте на странице цен. Относитесь к VPN как к одному слою защиты — вместе с безопасной установкой и гигиеной приложений.

Источники

Материал основан на разборе RedHook, опубликованном в июле 2026 года компанией Group-IB и освещённом изданием GBHackers.

RedHook: троян сам включает отладку и захватывает Android | LiMP VPN