セキュリティ企業Group-IBは2026年7月、Android向けリモートアクセス型トロイの木馬(RAT)「RedHook」の新版が、Androidの無線デバッグ機能(Wireless ADB)を悪用してシェルレベルの権限を取得する新手口を採用していると報告した。従来はUSBケーブル経由のADB接続が前提だったが、新版はスマートフォン単体で完結し、PCへの接続を一切必要としない点が特徴だ。

Wireless ADBとは何か

ADB(Android Debug Bridge)はGoogleが提供する開発者向けデバッグインターフェースで、PCからコマンドラインでAndroid端末を操作できる。Android 11以降で追加されたWireless ADB(無線デバッグ)は、USBケーブルなしで同じ操作をWi-Fi経由で行える機能だ。

RedHookの攻撃手口

RedHookは「アクセシビリティサービス」の権限をユーザーからだまし取ることで、設定アプリを自動操作し、開発者向けオプションを有効化、Wireless Debuggingをオンにする。さらに画面に表示されるペアリングコードを自ら読み取り、ループバックアドレス(127.0.0.1)経由で端末自身のADBサービスに接続することで、UID 2000というシェル権限(一般アプリより強力だがroot権限ではない)を取得する。この手口は端末がroot化されていなくても成立するため、大半のAndroid端末が対象になり得る。

シェル権限を得たRedHookは、開発者やパワーユーザーに人気の正規ツール「Shizuku」ベースのフレームワークをlibmx.soとして展開し、UID 2000の特権APIを呼び出す。これにより追加の権限付与、保護された設定の変更、アプリのサイレントインストール/アンインストールなどを、ユーザーに気づかれることなく実行できる。

53種類のコマンドと執拗な永続化

Group-IBの解析によると、RedHookはC2サーバーからの指示で53種類のコマンドを実行できる。画面ストリーミングやスクリーンショットの取得、タップ・スワイプ・長押しなど操作の自動化、連絡先・SMS・アプリ一覧の収集、偽の認証ダイアログのオーバーレイ表示、カメラの起動などが含まれる。

永続化の作り込みも念入りだ。無音の音声再生でプロセス優先度を引き上げ、WakeLockでCPUスリープを防ぎ、互いを監視して片方が終了すればもう片方が再起動させる2つのサービスを常駐させる。加えて5分おきのウォッチドッグアラーム、端末再起動後の自動復帰、メモリ逼迫時に強制終了されにくくするoom_score_adjの調整まで実装されている。

配布経路は、政府機関や金融機関を装ったメッセージ・電話で被害者を偽のGoogle Playサイトへ誘導する、典型的なソーシャルエンジニアリングだ。

実務への影響

日本企業でもBYOD端末や個人スマートフォンから会社のTeams・Outlook・OneDriveにアクセスするケースは珍しくない。RedHookのようなRATがアクセシビリティ権限を奪えば、資格情報の窃取や画面内容の盗み見を通じて、そのまま社内システムへの侵入口になりかねない。

IT管理者が明日からできる対策は次の通りだ。

  • Google Playストア以外からのアプリインストールを禁止し、Play Protectを有効化する
  • Intune等のMDMで開発者向けオプション/USBデバッグの有効化状態を検知し、該当端末をコンプライアンス違反としてConditional Accessでブロックする
  • アクセシビリティサービスの権限要求が出た際は「なぜこのアプリがこの権限を必要とするのか」を疑う文化を社員に浸透させる
  • 銀行や行政機関を名乗る電話・SMSからアプリインストールへ誘導する手口には特に警戒するよう周知する

筆者の見解

今回の手口で一番怖いのは、root化なしでも「シェル権限」という強力な足場を作れてしまう点だ。これは企業の特権アカウント管理でいう「常時アクセス権」の危うさと同じ構造だと感じる。一度アクセシビリティ権限という鍵を渡してしまえば、あとは開発者オプションのON/OFFもペアリングもすべて自動でやられてしまい、人間が気づいて止める機会はほとんどない。

ゼロトラストの発想はネットワークの外側だけでなく、端末そのものにも当てはめるべきだ。EntraのConditional AccessやIntuneのコンプライアンスポリシーで「開発者オプションが有効な端末には社内リソースへアクセスさせない」といった制御を組んでおけば、今回のような手口が成立してしまった場合でも被害をそこで止められる。ユーザーを禁止事項で縛るのではなく、正規の手順を踏んだ端末だけが快適に使える仕組みを用意しておくことが、結局いちばん効く。今回の事例はそれをあらためて教えてくれている。


出典: この記事は RedHook Android malware now uses Wireless ADB for shell access の内容をもとに、筆者の見解を加えて独自に執筆したものです。