“喂,我是公安的,你名下手机号涉嫌洗钱。”电话那头声音急促,一口亲切的南越口音,末尾还不忘加一句:“不信你在谷歌商店核实我的工号。”河内的一位上班族照做之后,却被引导到一个几乎以假乱真的页面,几秒钟内下载的“安全核查”应用,实则是重新武装上阵的RedHook银行木马。

这枚2025年7月才被Cyble揪出来的木马,原本不过是偷偷屏幕、记记键盘的小贼,如今换了一副身法:它把Android系统留给开发者的调试后门,硬生生改造成自己登堂入室的电梯。Group-IB在给Cyber Security News的报告中证实,RedHook已经不再满足于越南本土,印度尼西亚的用户也开始出现在目标名单上,一场面向整个东南亚的隔空窃密正悄然铺开。

打开网易新闻 查看精彩图片

整套入侵的“一图读懂”版可以这样拆:第一步,伪装成银行职员或政府人员,通过Zalo等聊天软件把受害者引向高仿谷歌商店网站,诱导下载APK。第二步,安装后弹出一个看似正经的开屏引导,要求开启无障碍服务,话术像极了“为保障服务请授予必要权限”。第三步,也是此前版本不曾做到的一步,RedHook借用Android玩家圈里小有名气的权限工具Shizuku的代码,通过无障碍服务模拟手指点击,悄悄点开开发者选项、启用无线调试、将自己配对成一台“受信任的电脑”,全程用遮罩画面盖住操作过程,机主根本察觉不到屏幕正在被操控。

一旦配对成功,木马立刻拉起自己的特权命令行进程,以uid 2000的身份运行,这在Android体系里相当于半个系统用户,普通应用不能做的事它都能做:静默安装或卸载应用、修改各类安全设置、截获原始触摸坐标,完全不需要弹窗确认。换言之,在机主眼里手机一切如常,而攻击者已经掌握了比机主更底层的钥匙。

RedHook还对品牌做了细颗粒度的适配——Google、华为、魅族、Oppo、三星、vivo、小米的设备各有一套触发无线调试的代码逻辑,虽然这些子模块目前还处于休眠状态,像是给未来南下铺好的铁轨。而它更让人头疼的地方在于存活能力:通过把自己伪装成几乎不可见的一像素悬浮窗之类的手法,木马竭力避免被系统或安全软件轻易踢出局。

从“看键盘”到“拿shell”,RedHook这一轮迭代等于把开发者工具当成了权杖。对于每天接陌生电话的普通用户来说,可怕的不再是某个漏洞有多精妙,而是攻击者只需让你在假页面上点几下,就把整部手机的底层权限拱手送上。