«Боевые текстограммы» атакуют автосигнализации

«Боевые текстограммы» атакуют автосигнализации

Исследователь продемонстрирует на следующей неделе в рамках конференции Black Hat USA, как «ужасающе» легко обезоружить автосигнализацию и контролировать другие устройства, подключённые к сетям GSM и сетям сотовой связи.

Исследователю Дону Бэйли потребовалось всего пару часов на то, чтобы взломать и подключиться к популярной автосигнализации и удалённо завести машину, отправляя ей текстовые сообщения.

Бэйли, консультант по безопасности iSec Partners, планирует на следующей неделе в рамках Black Hat USA продемонстрировать видео взлома автосигнализации, который они провели с его коллегой Мэтом Солником. Их презентация для Black Hat называется «Боевые текстограммы: Идентификация и взаимодействие с устройствами через телефонную сеть».

Физические системы обеспечения безопасности, подключённые к GSM и к сетям сотовой связи, такие как устройства отслеживания по GPS и автомобильные сигнализации, так же как и системы контроля автомобильного движения, домовые системы контроля и автоматизированные системы, а также SCADA-сенсоры подвержены атакам, по словам Бэйли.

Боевые текстограммы Бэйли демонстрировал ранее в этом году в применении к персональным GPS-локаторам. Он продемонстрировал, как взломать персональные GPS-устройства производства Zoomback так, чтобы найти их, захватить, а потом действовать от имени пользователя или оборудования, работающего с такими устройствами, которые должны слушаться только клиента. Недорогие встроенные устройства слежения, которыми укомплектованы смартфоны, а также GPS-устройства, которые отслеживают местонахождение ваших детей, машины, домашнего животного или процесс перевозки грузов, могут быть перехвачены злоумышленниками, которые могут узнать точное местоположение объекта, перехватить управление устройством и подменить истинное физическое расположения объекта на ложное, говорит он.

Между тем, его исследование для Black Hat концентрируется больше на инфраструктуре, а заодно на так называемых отпечатках этих устройств и их классификации среди миллионов номеров сотовых телефонов. Однажды скомпрометированные злоумышленником через сеть, эти устройства затем могут быть использованы в злонамеренных целях. Например, автомобильные сигнализации уязвимы, потому что они соединяются и работают в ждущем режиме через оснащённые Интернетом сети сотовой связи, получая сообщения с управляющих серверов, говорит Бэйли.

Бэйли предлагает производителям автомобильных сигнализаций задуматься над решением проблемы. Он говорит, что эти и другие устройства не защищены от реверс-инжиниринга и могут быть скомпрометированы через их соединения к GSM и сетям сотовой связи.  «Их проприетарные протоколы [традиционно] были изолированы и так обфусцированы, что было невозможно точно сказать, что происходит», – говорит Бэйли. «Но производители автосигнализаций должны сейчас беспокоиться о реверс-инжиниринге их проприетарных протоколов».

Как заявляет Бэйли, злоумышленник может собрать до этого неизвестные сведения об особенностях сигнальных устройств через телефонную сеть. «Теперь, когда они делятся информацией со своими партнёрами о GSM-модулях… они подвергают опасности весь бизнес. Это серьёзно с такой точки зрения: злоумышленники могут, наконец, весьма просто «забраться под капот», потому что они будут чувствовать себя как дома в отношении к GSM».

Бэйли планирует выпустить новые утилиты для того, чтобы помочь собрать информацию о таких устройствах. «[Утилиты] покажут, как просто можно настроить соединение с сетью для массированного сканирования по всей телефонной сети», – говорит он. «Идея соединения с устройствами с помощью боевых текстограмм через телефонную сеть весьма проста».

Бэйли заявляет, что взлом автомобильной сигнализации существенно увеличивает степень опасности подключения таких устройств к сетям GSM и сетям сотовой связи. «Учитывая то, чего мне удалось достичь за два часа с автомобильной сигнализацией, можете только представить себе, что будет, если нацелиться на другие подобные устройства, такие как SCADA-системы и камеры контроля автомобильного трафика. То, как быстро и просто их взломать с помощью реинжиниринга – это просто ужасно», – говорит он.

Он заявил, что может просканировать и другие устройства для того, чтобы взломать их тем же способом. «Ничего не стоит взломать их с помощью реверс-инжиниринга. Знания их модулей и понимания их дизайна вполне достаточно», чтобы провести атаку с помощью боевых текстограмм, говорит он.

Но как улучшить защищённость таких устройств? «Настоящий ответ – больше уделять внимания разработке: заставлять людей, разрабатывая архитектуру таких систем, анализировать их безопасность со всех сторон, чего сейчас они не делают», – сказал Бэйли.

Android-троян RedHook включает отладку и лезет в систему как разработчик

Android-вредонос RedHook вернулся с апгрейдом, от которого владельцам смартфонов точно не станет спокойнее. Троян, впервые описанный в июле 2025 года, теперь умеет самостоятельно злоупотреблять ADB Wireless Debugging и получать шелл-права уровня uid 2000. Он не просто следит за экраном и крадёт данные, а лезет глубже в систему через легальные инструменты для разработчиков.

Базовый набор RedHook и раньше был неприятным: трансляция экрана, кейлоггер, управление интерфейсом через Accessibility, кража учётных данных. Но новые версии пошли дальше.

Вредонос использует разрешения Accessibility, чтобы сам включать режим разработчика, переходить в настройки и активировать беспроводную ADB-отладку. Всё это он делает за спиной пользователя, прикрываясь полноэкранным оверлеем.

 

Дальше в ход идёт встроенный ADB-клиент и подход в стиле Shizuku — легитимного инструмента, который позволяет приложениям работать с ADB-демоном локально. Только здесь удобство для энтузиастов превращается в подарок для атакующих.

 

После запуска привилегированного серверного процесса RedHook может выдавать себе разрешения, менять системные настройки, выполнять шелл-команды, тихо устанавливать и удалять приложения, а также перехватывать низкоуровневые касания без новых запросов к пользователю.

Распространяют RedHook по старинке — через социальную инженерию. Операторы подсовывают APK через фейковые сайты госорганов и финансовых организаций, а затем убеждают жертву установить приложение звонками или сообщениями. По данным Group-IB, кампания расширилась с Вьетнама на Индонезию, что указывает на более широкую активность в Юго-Восточной Азии.

 

За живучесть трояна тоже можно поставить мрачный плюс. Он использует однопиксельную активность, тихий звук в MediaSession, WakeLock, взаимный перезапуск процессов и восстановление после перезагрузки. После старта устройства RedHook снова включает Wireless ADB, подгружает ключи и быстро возвращает себе привилегированный доступ.

Командный сервер управляет вредоносом через WebSocket и REST: принимает пароли, СМС, скриншоты, кейлоги и отдаёт команды — от жестов на экране до включения камеры и установки APK.

RSS: Новости на портале Anti-Malware.ru