يقوم القراصنة بإنشاء مواقع ويب مزيفة للوكالات الحكومية أو المؤسسات المالية ذات السمعة الطيبة مثل: بنك الدولة الفيتنامي (SBV)، و Sacombank (Sacombank Pay)، ومؤسسة الطاقة المركزية (EVNCPC)، ونظام مواعيد فحص السيارات (TTDK)... وتثبيت البرامج الضارة تحت ستار التطبيقات، ثم خداع المستخدمين لتنزيلها على هواتفهم، باستخدام العديد من السيناريوهات المختلفة مثل إرسال رسائل البريد الإلكتروني، أو إرسال الرسائل النصية عبر تطبيقات الدردشة أو تشغيل الإعلانات على محركات البحث...
يُخفى التطبيق المزيف باسم التطبيق الحقيقي، ولكن بامتداد مختلف (مثل SBV.apk)، ويُخزَّن على سحابة Amazon S3، مما يُسهِّل على المخترقين تحديث المحتوى الضار وتغييره وإخفائه. بعد تثبيته، يطلب التطبيق المزيف من المستخدم منحه صلاحيات وصول عميقة للنظام، بما في ذلك صلاحيات الوصول والتغطية.
من خلال الجمع بين هذين الحقين، يمكن للمتسللين مراقبة عمليات المستخدم، وقراءة محتوى الرسائل النصية القصيرة، والحصول على رموز OTP، والوصول إلى جهات الاتصال، وحتى العمل نيابة عن المستخدمين دون ترك أي علامات واضحة.
بفك شفرة مصدر RedHook، اكتشف خبراء مركز تحليل البرامج الضارة التابع لشركة Bkav أن هذا الفيروس يدمج ما يصل إلى 34 أمرًا للتحكم عن بُعد، بما في ذلك التقاط لقطات شاشة، وإرسال واستقبال الرسائل، وتثبيت التطبيقات أو إزالتها، وقفل الأجهزة وفتحها، وتنفيذ أوامر النظام. ويستخدمون واجهة برمجة تطبيقات MediaProjection لتسجيل جميع المحتويات المعروضة على شاشة الجهاز، ثم نقلها إلى خادم التحكم.
يحتوي RedHook على آلية مصادقة JSON Web Token (JWT)، والتي تساعد المهاجمين في الحفاظ على التحكم في الجهاز لفترة طويلة، حتى عند إعادة تشغيل الجهاز.
خلال عملية التحليل، اكتشف Bkav العديد من أجزاء التعليمات البرمجية وسلاسل الواجهة باستخدام اللغة الصينية إلى جانب العديد من الآثار الواضحة الأخرى لأصل تطوير مجموعة القراصنة بالإضافة إلى حملة توزيع RedHook المتعلقة بالأنشطة الاحتيالية التي ظهرت في فيتنام.
على سبيل المثال، يُظهر استخدام اسم النطاق mailisa[.]me، وهو خدمة تجميل شهيرة استُغلّت سابقًا، لنشر برمجيات خبيثة أن RedHook لا تعمل بمفردها، بل هي نتاج سلسلة من حملات الهجوم المنظمة، المتطورة تقنيًا وتكتيكيًا. تشمل نطاقات خوادم التحكم المستخدمة في هذه الحملة api9.iosgaxx423.xyz وskt9.iosgaxx423.xyz، وكلاهما عنوانان مجهولان يقعان خارج البلاد، ولا يمكن تتبعهما بسهولة.
توصي Bkav المستخدمين بتجنب تثبيت أي تطبيقات خارج متجر Google Play، وخاصةً ملفات APK الواردة عبر الرسائل النصية أو البريد الإلكتروني أو شبكات التواصل الاجتماعي. لا تمنح صلاحيات الوصول لتطبيقات مجهولة المصدر. يجب على المؤسسات تطبيق إجراءات مراقبة الوصول، وفلترة DNS، وإعداد تحذيرات للاتصالات بنطاقات غير مألوفة مرتبطة بالبنية التحتية للتحكم في البرامج الضارة. في حال الاشتباه في وجود إصابة، افصل الإنترنت فورًا، وانسخ بياناتك المهمة احتياطيًا، واستعد إعدادات المصنع (إعادة ضبط المصنع)، وغيّر جميع كلمات مرور حسابك، وتواصل مع البنك للتحقق من حالة حسابك.
المصدر: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[صورة] رئيس الوزراء فام مينه تشينه يلتقي بممثلي المعلمين المتميزين](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763215934276_dsc-0578-jpg.webp)
![[صورة] الأمين العام تو لام يستقبل نائب رئيس مجموعة Luxshare-ICT (الصين)](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763211137119_a1-bnd-7809-8939-jpg.webp)
![[صورة] بانوراما الجولة النهائية لجوائز العمل المجتمعي لعام 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763206932975_chi-7868-jpg.webp)
تعليق (0)