Yeni Birlik Gazetesi
Yeni Birlik Gazetesi Teknoloji Kablo yok, Root yok: Yeni Android tehlikesi RedHook telefonunuzu "Kendi silahıyla" vuruyor!

Kablo yok, Root yok: Yeni Android tehlikesi RedHook telefonunuzu "Kendi silahıyla" vuruyor!

Android ekosistemini sarsan RedHook zararlısının yeni sürümü; fiziksel bir USB bağlantısına veya root yetkisine ihtiyaç duymadan, cihazların kendi içindeki kablosuz hata ayıklama (Wireless ADB) mekanizmasını suistimal ederek tam kontrol sağlıyor.

Mobil işletim sistemlerinin güvenlik duvarları her geçen gün güçlense de, siber saldırganlar boşlukları bulmakta sınır tanımıyor. Siber güvenlik kuruluşu Group-IB araştırmacıları, ilk olarak 2025 yılında sahneye çıkan RedHook adlı Android uzaktan erişim truva atının (RAT) çok daha tehlikeli ve sinsi yeteneklerle donatılmış yeni bir sürümünü keşfetti.

Yeni nesil RedHook, alışılagelmiş zararlı yazılımların aksine, hedef cihaza sızmak için fiziksel bir kablo bağlantısına veya cihazın root edilmiş (yönetici yetkileri açılmış) olmasına ihtiyaç duymuyor. Zararlı, Android işletim sisteminin geliştiriciler için sunduğu meşru araçları kötüye kullanarak cihaz üzerinde adeta bir "hayalet yönetici" haline geliyor. Şu ana kadar Güneydoğu Asya ülkelerinde aktif olarak tespit edilen bu tehlikeli varyantın, küresel bir tehdide dönüşmesinden endişe ediliyor.

Saldırı Nasıl Başlıyor? Sosyal Mühendislik ve Sahte Mağaza Oyunu

RedHook, doğrudan işletim sistemindeki bir sistem açığını (Zero-Day) sömürerek telefona sızmıyor; aksine en zayıf halkayı, yani insan faktörünü hedef alıyor.

İlk Temas: Saldırganlar kurbanlarla telefon araması ya da mesajlaşma uygulamaları üzerinden irtibat kuruyor. Kendilerini banka personeli, teknik destek uzmanı ya da resmi bir devlet görevlisi olarak tanıtıyorlar.

Tuzak Bağlantı: Kullanıcı, işlemlerini yapması için Google Play Store arayüzünü birebir taklit eden sahte bir internet sitesine yönlendiriliyor.

Sahte Altyapı: Bu siteden indirilen APK dosyaları, filtreleri aşmak adına Amazon S3 veya GitHub gibi güvenilir ve meşru bulut platformlarında barındırılıyor.

Erişilebilirlik İzniyle Geliştirici Seçeneklerine Sızıyor

Uygulama telefona kurulduktan sonra kullanıcıdan "Erişilebilirlik Hizmeti" (Accessibility Service) izni talep ediliyor. Normalde engelli kullanıcıların ekranı kontrol edebilmesi için tasarlanan bu güçlü izin, RedHook’un elinde bir silaha dönüşüyor.

Zararlı yazılım, aldığı bu izin sayesinde ekrandaki dokunuşları taklit ederek telefonun "Ayarlar" menüsüne giriyor. Cihazın yapı numarasına arka arkaya yedi kez dokunarak Geliştirici Seçenekleri’ni etkinleştiriyor ve ardından Kablosuz Hata Ayıklama (Wireless ADB) özelliğini açıyor.

Dünyada Bir İlk: Telefon Kendi Kendini Hackliyor

Normal şartlarda bilgisayardan telefona komut göndermeyi sağlayan ADB (Android Debug Bridge) sistemi, RedHook tarafından akılalmaz bir yöntemle manipüle ediliyor.

Sistem Nasıl Sabote Ediliyor? RedHook, harici bir bilgisayara ihtiyaç duymadan ADB istemcisini doğrudan cihazın kendi içinde çalıştırıyor. Telefonun yerel ağ adresi olan 127.0.0.1 üzerinden kendi ADB hizmetine bağlanan yazılım, ekranda beliren güvenlik eşleştirme kodunu da erişilebilirlik servisi aracılığıyla otomatik olarak okuyor.

Bu işlem tamamlandığında virüs, Android sisteminde "shell" (UID 2000) düzeyinde bir yetkiye ulaşıyor. Bu yetki sayesinde sistem, uygulamaları kullanıcıya sormadan arka planda sessizce yükleyip silebiliyor, kritik güvenlik izinlerini onay penceresi göstermeden kendi kendine verebiliyor. Ayrıca, popüler bir geliştirici aracı olan Shizuku'nun kod kütüphanelerini de kendi içine entegre eden RedHook, ayrıcalıklı sistem komutlarını arka planda tereyağından kıl çeker gibi yürütüyor.

53 Farklı Komutla Telefonda Sınır Tanımayan Kontrol

Komuta-kontrol merkezinden yönetilen RedHook, bulaştığı cihazda tam 53 farklı uzaktan komutu çalıştırabiliyor. Bu yetenekler arasında en dikkat çekenler şunlar:

Telefon ekranını canlı olarak izleme ve kaydetme,

Android'in gizlilik amacıyla gösterdiği ekran kaydı uyarı pencerelerini shell yetkisiyle bypass etme,

SMS onay kodlarını, kişileri ve yüklü uygulamaları kopyalama,

Sahte sistem güncelleme ve bankacılık doğrulama arayüzleri göstererek kimlik bilgilerini çalma,

Ön kamerayı gizlice aktif hale getirerek kullanıcının yüzünü kaydetme.

Virüsten Kurtulmak Neden Bu Kadar Zor?

RedHook, cihazdan temizlenmemek için adeta askeri düzeyde savunma mekanizmaları kullanıyor. Cihazın işlemcisinin uyku moduna geçmesini engelleyen WakeLock sistemini kullanan virüs, ekran kapandığında sadece bir piksellik görünmez bir pencere açarak çalışmaya devam ediyor.

Dahası, arka planda birbirini sürekli denetleyen iki farklı servis çalıştırıyor. Kullanıcı veya sistem bu servislerden birini kapattığında, diğer servis hemen devreye girerek kapanan ortağını yeniden hayata döndürüyor.

Android Kullanıcıları Hangi Önlemleri Almalı?

RedHook’un başarısı sistem açıklarından ziyade kullanıcı hatalarına dayandığı için basit ama etkili önlemlerle bu tehditten korunmak mümkün. Güvenlik uzmanları şu adımların hayati önem taşıdığını belirtiyor:

Sadece Resmi Mağazaları Kullanın: Güvenilirliğinden emin olmadığınız kaynaklardan asla APK dosyası indirmeyin. Resmi kurumlar sizden hiçbir zaman harici uygulama yüklemenizi istemez.

Geliştirici Ayarlarını Kapatın: İhtiyacınız olmadığı anlarda telefonunuzun Ayarlar menüsünden "Geliştirici Seçenekleri" ve "Kablosuz Hata Ayıklama" özelliklerini mutlaka kapalı tutun.

İzinleri Sıkı Denetleyin: Ayarlar menüsünden "Erişilebilirlik" iznine sahip uygulamaları düzenli olarak gözden geçirin. Şüpheli bulduğunuz tüm izinleri anında iptal edin.

Play Protect'i Açık Tutun: Google Play Protect sisteminin her zaman aktif ve güncel olduğundan emin olun; bu sistem cihazı arka planda sürekli tarayarak zararlıları pasifize edebilir.