Наверх

Банковский троян RedHook для Android научился использовать беспроводной интерфейс ADB для кражи данных

Специалисты Group-IB обнаружили новую версию вредоносного софта, который обходит ограничения системы и получает доступ к командной строке устройства.

Опубликовано 14.07.2026 в 14:52 3 мин
3 мин
Троян RedHook ворует деньги через отладку ADB | DGL.RU

Основные идеи

Обновленный троян RedHook использует беспроводную отладку ADB для доступа к командной строке.
Вирус проникает в систему через поддельные APK-файлы, которые маскируют под официальный софт.
Для защиты от удаления программа запускает две фоновые службы и постоянно проигрывает тихий звук.
Операционная система iOS аппаратно защищена от подобных атак из-за ограничений на уровне ядра.

В свежем отчете Group-IB специалисты рассказывают о новой версии банковского трояна RedHook для Android. Вредоносная программа использует беспроводную технологию отладки ADB (Android Debug Bridge). Этот же инструмент опытные пользователи применяют для тонкой настройки смартфонов вроде Galaxy S26 Ultra или Pixel 10 Pro. Теперь троян задействует его для получения доступа на уровне командной строки, что позволяет злоумышленникам похищать деньги с банковских счетов. Первые атаки специалисты зафиксировали во Вьетнаме, после чего сканирование показало распространение угрозы на Индонезию.

Впервые это вредоносное ПО обнаружили в июле 2025 года. Тогда оно работало как обычный банковский софт-шпион: следило за экраном и записывало нажатия клавиш. В новом анализе специалисты Group-IB выявили модификацию, которая умеет незаметно активировать беспроводной режим ADB.

Схема проникновения осталась прежней. Злоумышленники звонят или присылают сообщения под видом сотрудников банка или госслужащих. Они убеждают жертву установить APK-файл со стороннего сайта. Этот ресурс маскируется под Google Play Store.

Видео от DGL.RU

После установки на телефон RedHook запрашивает доступ к специальным возможностям. Затем программа сама открывает «Параметры разработчика», включает беспроводную отладку и подключается к устройству как авторизованный компьютер. Это открывает ей доступ на уровне командной строки, к которой у обычных приложений доступа нет.

При этом троян не использует уязвимости в операционной системе. Он просто превращает штатный интерфейс отладки в инструмент для получения максимальных привилегий.

Как вирус выживает в системе

Троян RedHook ворует деньги через отладку ADB | DGL.RU

Специалисты Group-IB также выяснили, что вредоносный софт использует хитрые методы для защиты от удаления. Программа постоянно воспроизводит тихий звук на фоне, чтобы не дать процессору перейти в спящий режим. Кроме того, троян запускает две фоновые службы. Если пользователь или система закрывает одну из них, вторая тут же перезапускает напарника.

На смартфонах Apple эта схема не работает. iOS физически не дает сторонним приложениям доступ к беспроводной отладке. Однако Google тоже готовит решение проблемы. Ожидается, что будущий режим повышенной защиты в Android сможет блокировать параметры разработчика для обычных пользователей. Но пока эта функция не появилась в системе.

Основная группа риска — те, кто скачивает софт из сторонних источников. Встроенная служба Google Play Protect постоянно сканирует устройство на предмет подозрительной активности. Если вы пользуетесь только официальным магазином и не отключаете защиту, вирус не сможет попасть на ваш аппарат.

Как защитить свой смартфон от взлома

Для полной безопасности достаточно соблюдать несколько простых правил цифровой гигиены:

  • Устанавливайте приложения только из официальных магазинов. Избегайте скачивания APK-файлов по ссылкам из сообщений.
  • Контролируйте права доступа. Никогда не давайте разрешение на специальные возможности приложениям, которым они объективно не нужны.
  • Проверяйте подозрительные контакты. Если вам звонят из банка с требованиями «срочно обновить систему безопасности», положите трубку и перезвоните по официальному номеру организации.
  • Следите за настройками. Время от времени проверяйте параметры разработчика. Убедитесь, что беспроводная отладка не работает, если вы не включали ее сами.
  • Не выключайте защиту. Держите функцию Google Play Protect постоянно активной.

Кому стоит беспокоиться?

Троян представляет реальную угрозу для тех, кто доверяет случайным ссылкам в СМС и готов устанавливать сторонние файлы в обход системных предупреждений. Для осторожных пользователей, которые соблюдают базовые правила безопасности, RedHook не несет никакой опасности.

Во что поиграть в октябре: Alan Wake, Far Cry, Back 4 Blood, Crysis, Guardians of the Galaxy, Darkest Dungeon

Вопросы и ответы

Безопасно ли использовать Android на фоне новостей о трояне RedHook?

Использовать систему полностью безопасно, если соблюдать базовые правила гигиены. Вирус не может проникнуть на телефон сам по себе. Заражение происходит только тогда, когда пользователь вручную скачивает сторонний APK-файл по сомнительным ссылкам и дает софту права разработчика. Если вы качаете программы только из официального магазина Google Play, риски равны нулю.

Каким образом троян RedHook получает максимальный доступ к операционной системе?

Программа использует социальную инженерию для обмана жертвы. Сначала троян выманивает доступ к специальным возможностям. Затем софт самостоятельно открывает настройки разработчика, активирует беспроводную отладку ADB и авторизуется в системе. Это позволяет вирусу выполнять любые команды в обход стандартных ограничений безопасности.

Как вирусу удается выживать в системе и защищаться от удаления?

Для защиты от спящего режима процессора троян постоянно воспроизводит беззвучный аудиофайл на фоне. Также вредоносный софт запускает две независимые фоновые службы. Они непрерывно контролируют состояние друг друга. Если пользователь или операционная система принудительно останавливает один процесс, второй мгновенно перезапускает его.

Варвара Пельменева

Варвара Пельменева

Я люблю пельмени. Если ты тоже их любишь — читай меня. Пельменей тут нет, но есть тексты, пропитанные стремлением поскорее их дописать и наконец-то бахнуть пельменей.

Подпишитесь на наши новости:
Нажимая кнопку «Подписаться», вы принимаете «Пользовательское соглашение» и даёте согласие с «Политикой обработки персональных данных»