RedHook Android Malware Kini Manfaatkan Wireless ADB untuk Mendapatkan Akses Shell

Peneliti keamanan dari Group-IB menemukan varian terbaru malware Android RedHook yang kini menggunakan teknik baru dengan menyalahgunakan fitur Wireless Android Debug Bridge (Wireless ADB) untuk memperoleh hak akses tingkat shell tanpa memerlukan koneksi ke komputer.
Dibandingkan varian yang pertama kali dianalisis pada 2025, versi terbaru ini menawarkan kemampuan yang jauh lebih berbahaya. Selain tetap berfungsi sebagai Remote Access Trojan (RAT), RedHook kini mampu memperoleh hak akses yang sebelumnya hanya tersedia melalui Android Debug Bridge (ADB), sehingga penyerang dapat mengendalikan perangkat korban dengan lebih leluasa.
Menyalahgunakan Wireless ADB Tanpa Kabel USB
Android Debug Bridge (ADB) merupakan antarmuka resmi Google yang digunakan pengembang untuk mengelola perangkat Android melalui komputer menggunakan perintah command line.
Sejak Android 11, Google memperkenalkan Wireless ADB yang memungkinkan proses debugging dilakukan melalui jaringan nirkabel tanpa memerlukan kabel USB.
RedHook memanfaatkan fitur tersebut dengan cara yang tidak biasa.
Setelah korban memberikan izin Accessibility Service, malware secara otomatis melakukan berbagai tindakan, seperti:
- Mengaktifkan Developer Options.
- Mengaktifkan Wireless Debugging.
- Mengambil kode pairing yang muncul di layar.
- Menghubungkan dirinya sendiri ke layanan ADB melalui alamat lokal 127.0.0.1.
Dengan metode tersebut, malware memperoleh hak akses Shell (UID 2000) yang jauh lebih tinggi dibandingkan aplikasi Android biasa, meskipun belum mencapai level root.
Yang membuat teknik ini semakin berbahaya adalah seluruh proses dapat berjalan tanpa perangkat di-root maupun dihubungkan ke komputer.
Memanfaatkan Shizuku untuk Mendapatkan Hak Akses Tambahan
Setelah berhasil memperoleh akses shell, RedHook kemudian memanfaatkan Shizuku, sebuah utilitas Android yang umum digunakan oleh pengguna tingkat lanjut dan developer.
Melalui framework berbasis Shizuku, malware dapat menjalankan berbagai API Android dengan hak akses UID 2000 sehingga mampu melakukan tindakan yang biasanya tidak dapat dilakukan aplikasi biasa.
Kemampuan tambahan tersebut antara lain:
- Memberikan izin (permission) tambahan kepada dirinya sendiri.
- Mengubah pengaturan sistem yang dilindungi.
- Menginstal atau menghapus aplikasi secara diam-diam.
- Menjalankan berbagai perintah shell tanpa menampilkan dialog konfirmasi kepada pengguna.
Mendukung 53 Perintah Jarak Jauh
Menurut Group-IB, server Command and Control (C2) dapat mengirimkan hingga 53 jenis perintah kepada perangkat yang terinfeksi.
Beberapa kemampuan utama RedHook meliputi:
- Live screen streaming.
- Mengambil screenshot.
- Mensimulasikan sentuhan, swipe, drag, dan gesture.
- Mengunci maupun membuka kunci perangkat.
- Menginstal, menjalankan, dan menghapus aplikasi.
- Mengambil daftar kontak, SMS, dan aplikasi yang terpasang.
- Menampilkan overlay atau halaman verifikasi palsu.
- Mengaktifkan kamera.
- Melakukan reboot perangkat.
Kemampuan tersebut memungkinkan pelaku mencuri kredensial, memantau aktivitas korban secara real-time, hingga mengendalikan perangkat sepenuhnya.
Menggunakan Berbagai Teknik Agar Sulit Dimatikan
Varian terbaru RedHook juga dilengkapi sejumlah mekanisme persistence agar tetap berjalan meskipun pengguna mencoba menghentikannya.
Teknik yang digunakan antara lain:
- Memutar audio secara diam-diam untuk meningkatkan prioritas proses.
- Menggunakan WakeLock agar CPU tidak memasuki mode tidur.
- Menjalankan dua service yang saling menghidupkan kembali apabila salah satunya dihentikan.
- Mengaktifkan watchdog setiap lima menit.
- Otomatis aktif kembali setelah perangkat melakukan booting.
- Mengatur nilai oom_score_adj menjadi -1000 agar kecil kemungkinan dihentikan oleh sistem saat memori hampir habis.
Disebarkan Lewat Rekayasa Sosial
Distribusi RedHook masih mengandalkan teknik social engineering.
Pelaku biasanya menghubungi calon korban melalui pesan singkat maupun panggilan telepon dengan menyamar sebagai:
- Instansi pemerintah.
- Bank atau lembaga keuangan.
- Penyedia layanan resmi.
Korban kemudian diarahkan menuju situs palsu yang menyerupai Google Play Store untuk mengunduh aplikasi berbahaya tersebut.
Cara Melindungi Diri
Untuk mengurangi risiko infeksi, pengguna Android disarankan melakukan beberapa langkah berikut:
- Unduh aplikasi hanya dari Google Play Store atau sumber resmi.
- Periksa seluruh izin yang diminta aplikasi sebelum menginstalnya, terutama Accessibility Service.
- Jangan mengaktifkan Developer Options maupun Wireless Debugging apabila tidak benar-benar diperlukan.
- Pastikan fitur Google Play Protect tetap aktif.
- Hindari menginstal aplikasi dari tautan yang dikirim melalui SMS, email, atau aplikasi pesan instan.
Teknik yang digunakan RedHook menunjukkan bahwa pelaku kini semakin kreatif dalam memanfaatkan fitur bawaan Android untuk memperoleh hak akses tinggi tanpa perlu melakukan root pada perangkat. Oleh karena itu, kewaspadaan pengguna terhadap permintaan izin aplikasi menjadi salah satu pertahanan paling penting.
Sumber: Group-IB








