Hackeři vytvářejí falešné webové stránky státních agentur nebo renomovaných finančních institucí, jako jsou: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... instalují malware pod rouškou aplikací a poté uživatele lstí stáhnou do telefonů, a to pomocí mnoha různých scénářů, jako je odesílání e-mailů, textových zpráv prostřednictvím chatovacích aplikací nebo zobrazování reklam ve vyhledávačích...
Falešná aplikace je maskovaná stejným názvem jako skutečná aplikace, jen s jinou příponou (např. SBV.apk) a je uložena v cloudu Amazon S3, což hackerům usnadňuje aktualizaci, změnu a skrytí škodlivého obsahu. Po instalaci falešná aplikace požádá uživatele o udělení hlubokého přístupu k systému, včetně oprávnění pro přístupnost a překrytí.
Kombinací těchto dvou práv mohou hackeři monitorovat operace uživatelů, číst obsah SMS zpráv, získávat OTP kódy, přistupovat ke kontaktům a dokonce jednat jménem uživatelů, aniž by zanechali jakékoli zjevné stopy.
Dekompilací zdrojového kódu viru RedHook experti z Centra pro analýzu malwaru společnosti Bkav zjistili, že tento virus integruje až 34 příkazů pro vzdálené ovládání, včetně pořizování snímků obrazovky, odesílání a přijímání zpráv, instalace nebo odinstalace aplikací, zamykání a odemykání zařízení a provádění systémových příkazů. Pomocí rozhraní API MediaProjection zaznamenávají veškerý obsah zobrazený na obrazovce zařízení a poté jej přenášejí na řídicí server.
RedHook má mechanismus ověřování pomocí JSON Web Token (JWT), který pomáhá útočníkům udržet si kontrolu nad zařízením po dlouhou dobu, a to i po restartu zařízení.
Během analýzy Bkav objevil mnoho segmentů kódu a řetězců rozhraní používajících čínský jazyk spolu s mnoha dalšími jasnými stopami vývojového původu hackerské skupiny a také distribuční kampaně RedHook související s podvodnými aktivitami, které se objevily ve Vietnamu.
Například použití doménového jména mailisa[.]me, oblíbené kosmetické služby, která byla v minulosti zneužívána, k šíření malwaru ukazuje, že RedHook nefunguje sám, ale je produktem série organizovaných útočných kampaní, které jsou sofistikované jak z technického, tak taktického hlediska. Mezi domény řídicích serverů použité v této kampani patří api9.iosgaxx423.xyz a skt9.iosgaxx423.xyz, což jsou obě anonymní adresy nacházející se v zahraničí a nelze je snadno dohledat.
Společnost Bkav doporučuje uživatelům, aby v žádném případě neinstalovali aplikace mimo Google Play, zejména soubory APK přijaté prostřednictvím textových zpráv, e-mailů nebo sociálních sítí. Neudělujte oprávnění přístupu aplikacím neznámého původu. Organizace musí zavést opatření pro monitorování přístupu, filtrování DNS a nastavit varování pro připojení k neobvyklým doménám souvisejícím s kontrolní infrastrukturou malwaru. Pokud máte podezření na infekci, okamžitě se odpojte od internetu, zálohujte důležitá data, obnovte tovární nastavení (reset do továrního nastavení), změňte všechna hesla k účtům a kontaktujte banku, aby zkontrolovala stav účtu.
Zdroj: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Fotografie] Lam Dong: Detail nelegálního jezera s rozbitou zdí](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/03/1762166057849_a5018a8dcbd5478b1ec4-jpg.webp)
![[Foto] Generální tajemník To Lam přijal singapurského velvyslance Jayu Ratnama](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/03/1762171461424_a1-bnd-5309-9100-jpg.webp)
![[Foto] Premiér Pham Minh Chinh přijal předsedu Japonsko-vietnamské asociace přátelství v regionu Kansai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/03/1762176259003_ndo_br_dsc-9224-jpg.webp)
Komentář (0)