Hackeři vytvářejí falešné webové stránky státních agentur nebo renomovaných finančních institucí, jako jsou: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... instalují malware pod rouškou aplikací a poté uživatele lstí stáhnou do telefonů, a to pomocí mnoha různých scénářů, jako je odesílání e-mailů, textových zpráv prostřednictvím chatovacích aplikací nebo zobrazování reklam ve vyhledávačích...
Falešná aplikace je maskovaná stejným názvem jako skutečná aplikace, jen s jinou příponou (např. SBV.apk) a je uložena v cloudu Amazon S3, což hackerům usnadňuje aktualizaci, změnu a skrytí škodlivého obsahu. Po instalaci falešná aplikace požádá uživatele o udělení hlubokého přístupu k systému, včetně oprávnění pro přístupnost a překrytí.
Kombinací těchto dvou práv mohou hackeři monitorovat operace uživatelů, číst obsah SMS zpráv, získávat OTP kódy, přistupovat ke kontaktům a dokonce jednat jménem uživatelů, aniž by zanechali jakékoli zjevné stopy.
Dekompilací zdrojového kódu viru RedHook experti z Centra pro analýzu malwaru společnosti Bkav zjistili, že tento virus integruje až 34 příkazů pro vzdálené ovládání, včetně pořizování snímků obrazovky, odesílání a přijímání zpráv, instalace nebo odinstalace aplikací, zamykání a odemykání zařízení a provádění systémových příkazů. Pomocí rozhraní API MediaProjection zaznamenávají veškerý obsah zobrazený na obrazovce zařízení a poté jej přenášejí na řídicí server.
RedHook má mechanismus ověřování pomocí JSON Web Token (JWT), který pomáhá útočníkům udržet si kontrolu nad zařízením po dlouhou dobu, a to i po restartu zařízení.
Během analýzy Bkav objevil mnoho segmentů kódu a řetězců rozhraní používajících čínský jazyk spolu s mnoha dalšími jasnými stopami vývojového původu hackerské skupiny a také distribuční kampaně RedHook související s podvodnými aktivitami, které se objevily ve Vietnamu.
Například použití doménového jména mailisa[.]me, oblíbené kosmetické služby, která byla v minulosti zneužívána, k šíření malwaru ukazuje, že RedHook nefunguje sám, ale je produktem série organizovaných útočných kampaní, které jsou sofistikované jak z technického, tak taktického hlediska. Mezi domény řídicích serverů použité v této kampani patří api9.iosgaxx423.xyz a skt9.iosgaxx423.xyz, což jsou obě anonymní adresy nacházející se v zahraničí a nelze je snadno dohledat.
Společnost Bkav doporučuje uživatelům, aby v žádném případě neinstalovali aplikace mimo Google Play, zejména soubory APK přijaté prostřednictvím textových zpráv, e-mailů nebo sociálních sítí. Neudělujte oprávnění přístupu aplikacím neznámého původu. Organizace musí zavést opatření pro monitorování přístupu, filtrování DNS a nastavit varování pro připojení k neobvyklým doménám souvisejícím s kontrolní infrastrukturou malwaru. Pokud máte podezření na infekci, okamžitě se odpojte od internetu, zálohujte důležitá data, obnovte tovární nastavení (reset do továrního nastavení), změňte všechna hesla k účtům a kontaktujte banku, aby zkontrolovala stav účtu.
Zdroj: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Fotografie] Ca Mau se „potýká“ s nejvyšším přílivem roku, předpověď předpokládá překročení 3. stupně pohotovosti](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762235371445_ndo_br_trieu-cuong-2-6486-jpg.webp)
![[Foto] Soudruh Nguyen Duy Ngoc zastává funkci tajemníka Hanojského stranického výboru](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762234472658_a1-bnd-5518-8538-jpg.webp)
![[Foto] Mládež z Ho Či Minova Města se zasazuje o čistší životní prostředí](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762233574890_550816358-1108586934787014-6430522970717297480-n-1-jpg.webp)
![[Foto] Silnice spojující Dong Nai s Ho Či Minovým Městem je i po 5 letech výstavby stále nedokončená.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762241675985_ndo_br_dji-20251104104418-0635-d-resize-1295-jpg.webp)
Komentář (0)