RedHook-malwaren misbruger en skjult Android-funktion til at få næsten total kontrol over din telefon.
Funktionen hedder Wireless Debugging og findes på stort set alle Android-telefoner solgt de seneste fem år. Den er tænkt til app-udviklere, men en opdateret version af trojaneren RedHook forvandler den til en bagdør, der lader angribere styre din telefon, som om den var deres.
Sikkerhedsfirmaet Group-IB beskrev metoden i en analyse offentliggjort den 9. juli 2026. Malwaren blev første gang dokumenteret af Cyble-forskere i sommeren 2025, men den nye variant er markant farligere.
Sådan snyder malwaren sig til udvidede rettigheder
RedHook lokkes ind på telefonen via falske apps, der udgiver sig for at være bank- eller myndighedsapps. Ofrene får typisk et link via sms, opkald eller sociale medier og guides til en side, der ligner Google Play.
Når appen er installeret, beder den om adgang til Androids tilgængeligheds-tjeneste — den funktion, der er lavet til brugere med handicap. Får den lov, kan appen selv trykke rundt i telefonens indstillinger.
Herfra går det stærkt. Malwaren simulerer syv tryk på “byggenummer” for at aktivere Udviklerindstillinger, tænder for Wireless Debugging og aflæser parringskoden fra skærmen. Derefter kobler den sig til telefonens egen debug-tjeneste via den lokale loopback-adresse 127.0.0.1.
Resultatet er, at malwaren kører som brugeren “shell” med UID 2000 — det samme privilegieniveau, en udvikler får, når man kobler telefonen til en computer med et USB-kabel. Der er ikke tale om et hul i Android, blot om misbrug af en legitim funktion.
Hvad er Wireless Debugging?
Wireless Debugging er en trådløs udgave af Android Debug Bridge, det værktøj udviklere bruger til at teste apps. Funktionen blev introduceret i Android 11 og findes derfor på næsten alle nyere Android-telefoner. Den er som udgangspunkt slået fra og skjult inde under Udviklerindstillinger, som brugeren aktivt skal låse op.
Problemet er, at når først en app har tilgængeligheds-adgang, kan den selv gennemføre hele opsætningen uden brugerens indblanding.
53 kommandoer og fuld skærmoptagelse
Group-IB har kortlagt, at RedHook understøtter 53 forskellige kommandoer fra angriberens server. Malwaren kan tage skærmbilleder, streame skærmen i realtid, simulere tryk og strøg, låse telefonen op, installere og afinstallere apps, aflæse kontakter og sms’er samt tænde frontkameraet.
Særligt skærmoptagelsen er interessant. Normalt kræver Android, at brugeren giver tilladelse via en dialogboks, hver gang en app vil optage skærmen. Med shell-privilegier kan RedHook omgå den dialog helt og streame via protokollen RTMP direkte til en angriber-server.
Malwaren er samtidig svær at slippe af med. Group-IB beskriver flere lag af vedholdenhed, herunder to tjenester der genstarter hinanden, en fem-minutters vagtalarm, lydløs baggrundslyd der holder processen levende, og en indstilling der gør processen næsten immun over for Androids hukommelses-oprydning.
Målene sidder i Sydøstasien, men metoden er global
Ifølge Group-IB har kampagnen hidtil primært ramt brugere i Vietnam med udvidelse til Indonesien. Der er endnu ikke rapporteret danske ofre. Men teknikken hviler ikke på et lokalt hul — den hviler på en Android-funktion, der er ens over hele verden, og den slags metoder plejer at blive kopieret hurtigt.
Kombinationen af falske bank-apps og telefoner, der bliver fjernstyret, er heller ikke ny. Kaspersky registrerede i første kvartal af 2026 mere end 162.000 mobile banking-trojaner globalt, og bank-trojanere udgør nu over halvdelen af alle mobile malware-fund.
Sådan slår du Wireless Debugging fra
På en almindelig Android-telefon er Wireless Debugging skjult og typisk deaktiveret. Vil du tjekke, om det er slået til, gør du sådan her:
-
Åbn Indstillinger og søg efter “Udviklerindstillinger”. Hvis der ikke er noget resultat, er de slået fra, og du er beskyttet.
-
Er de aktiveret, gå ind i menuen og find “Trådløs fejlfinding” eller “Wireless debugging”. Slå kontakten fra.
-
Overvej også at slå hele Udviklerindstillinger fra i samme menu.
Det vigtigste råd fra Group-IB er dog stadig at være yderst kritisk over for apps, der beder om tilgængeligheds-adgang. Legitime bank- og MitID-apps beder aldrig om den tilladelse, og en app, der pludselig gør det efter installation via et link i en sms, bør slettes med det samme.