يقوم القراصنة بإنشاء مواقع ويب مزيفة للوكالات الحكومية أو المؤسسات المالية ذات السمعة الطيبة مثل: بنك الدولة الفيتنامي (SBV)، وSacombank (Sacombank Pay)، ومؤسسة الطاقة المركزية (EVNCPC)، ونظام مواعيد فحص السيارات (TTDK)... وتثبيت البرامج الضارة تحت ستار التطبيقات، ثم خداع المستخدمين لتنزيلها على هواتفهم، باستخدام العديد من السيناريوهات المختلفة مثل إرسال رسائل البريد الإلكتروني، أو إرسال الرسائل النصية عبر تطبيقات الدردشة أو تشغيل الإعلانات على محركات البحث...
يُخفى التطبيق المزيف باسم التطبيق الحقيقي، ولكن بامتداد مختلف (مثل SBV.apk)، ويُخزَّن على سحابة Amazon S3، مما يُسهِّل على المخترقين تحديث المحتوى الضار وتغييره وإخفائه. بعد تثبيته، يطلب التطبيق المزيف من المستخدم منحه صلاحيات الوصول العميق للنظام، بما في ذلك أذونات إمكانية الوصول والتراكب.
من خلال الجمع بين هذين الحقين، يمكن للمتسللين مراقبة عمليات المستخدم، وقراءة محتوى الرسائل النصية القصيرة، والحصول على رموز OTP، والوصول إلى جهات الاتصال، وحتى العمل نيابة عن المستخدمين دون ترك أي علامات واضحة.
بتفكيك الشيفرة المصدرية لـ RedHook، اكتشف خبراء مركز تحليل البرامج الضارة التابع لشركة Bkav أن الفيروس يدمج ما يصل إلى 34 أمرًا للتحكم عن بُعد، بما في ذلك التقاط لقطات شاشة، وإرسال واستقبال الرسائل، وتثبيت التطبيقات أو إزالتها، وقفل الأجهزة وفتحها، وتنفيذ أوامر النظام. ويستخدمون واجهة برمجة تطبيقات MediaProjection لتسجيل جميع المحتويات المعروضة على شاشة الجهاز، ثم نقلها إلى خادم التحكم.
يحتوي RedHook على آلية مصادقة JSON Web Token (JWT)، والتي تساعد المهاجمين في الحفاظ على التحكم في الجهاز لفترة طويلة، حتى عند إعادة تشغيل الجهاز.
أثناء التحليل، اكتشف Bkav العديد من أجزاء التعليمات البرمجية وسلاسل الواجهة باستخدام اللغة الصينية إلى جانب العديد من الآثار الواضحة الأخرى لأصل تطوير مجموعة القراصنة بالإضافة إلى حملة توزيع RedHook المتعلقة بالأنشطة الاحتيالية التي ظهرت في فيتنام.
على سبيل المثال، يُظهر استخدام اسم النطاق mailisa[.]me، وهو خدمة تجميل شهيرة استُغلّت سابقًا، لنشر برمجيات خبيثة أن RedHook لا تعمل بمفردها، بل هي نتاج سلسلة من الهجمات المنظمة المتطورة تقنيًا وتكتيكيًا. تشمل نطاقات خوادم التحكم المستخدمة في هذه الحملة api9.iosgaxx423.xyz وskt9.iosgaxx423.xyz، وكلاهما عنوانان مجهولان يقعان خارج البلاد ولا يمكن تتبعهما بسهولة.
توصي Bkav المستخدمين بتجنب تثبيت أي تطبيقات خارج متجر Google Play، وخاصةً ملفات APK الواردة عبر الرسائل النصية أو البريد الإلكتروني أو شبكات التواصل الاجتماعي. لا تمنح صلاحيات الوصول لتطبيقات مجهولة المصدر. يجب على المؤسسات تطبيق إجراءات مراقبة الوصول، وفلترة DNS، وإعداد تحذيرات للاتصالات بنطاقات غير مألوفة مرتبطة بالبنية التحتية للتحكم في البرامج الضارة. في حال الاشتباه في وجود إصابة، افصل الإنترنت فورًا، وانسخ بياناتك المهمة احتياطيًا، وأعد ضبط المصنع، وغيّر جميع كلمات مرور حسابك، وتواصل مع البنك للتحقق من حالة حسابك.
المصدر: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[صورة] اكتشف "العجائب" تحت بحر جيا لاي](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[صورة] نغي آن: الطريق الإقليمي 543D تعرض لتآكل خطير بسبب الفيضانات](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
تعليق (0)