Hacker erstellen gefälschte Websites von Regierungsbehörden oder seriösen Finanzinstituten, wie etwa der State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK) … Sie installieren Schadsoftware unter dem Deckmantel von Anwendungen und verleiten dann Benutzer dazu, diese auf ihre Telefone herunterzuladen. Dabei nutzen sie viele verschiedene Szenarien, wie etwa das Senden von E-Mails, das Versenden von Textnachrichten über Chat-Anwendungen oder das Schalten von Anzeigen in Suchmaschinen …
Die gefälschte App trägt denselben Namen wie die echte App, nur mit einer anderen Erweiterung (z. B. SBV.apk) und wird in der Amazon S3-Cloud gespeichert. So können Hacker schädliche Inhalte leicht aktualisieren, ändern und verbergen. Nach der Installation fordert die gefälschte App den Benutzer auf, umfassenden Systemzugriff zu gewähren, einschließlich der Berechtigungen für Barrierefreiheit und Overlay.
Durch die Kombination dieser beiden Rechte können Hacker Benutzervorgänge überwachen, den Inhalt von SMS-Nachrichten lesen, OTP-Codes abrufen, auf Kontakte zugreifen und sogar im Namen von Benutzern agieren, ohne offensichtliche Spuren zu hinterlassen.
Durch die Dekompilierung des RedHook-Quellcodes entdeckten Experten des Malware Analysis Center von Bkav, dass der Virus bis zu 34 Fernsteuerungsbefehle integriert, darunter das Erstellen von Screenshots, das Senden und Empfangen von Nachrichten, das Installieren und Deinstallieren von Anwendungen, das Sperren und Entsperren von Geräten sowie das Ausführen von Systembefehlen. Mithilfe der MediaProjection-API zeichnen sie alle auf dem Gerätebildschirm angezeigten Inhalte auf und übertragen sie anschließend an den Steuerungsserver.
RedHook verfügt über einen JSON Web Token (JWT)-Authentifizierungsmechanismus, der Angreifern hilft, die Kontrolle über das Gerät für lange Zeit zu behalten, selbst wenn das Gerät neu gestartet wird.
Während der Analyse entdeckte Bkav zahlreiche Codesegmente und Schnittstellenzeichenfolgen in chinesischer Sprache sowie zahlreiche andere klare Spuren des Entwicklungsursprungs der Hackergruppe und der RedHook-Verteilungskampagne im Zusammenhang mit betrügerischen Aktivitäten, die in Vietnam aufgetreten sind.
Beispielsweise zeigt die Verwendung des Domänennamens mailisa[.]me, eines beliebten Beauty-Dienstes, der in der Vergangenheit bereits missbraucht wurde, zur Verbreitung von Schadsoftware, dass RedHook nicht allein operiert, sondern das Produkt einer Reihe organisierter Angriffe ist, die sowohl technisch als auch taktisch ausgefeilt sind. Zu den in dieser Kampagne verwendeten Kontrollserverdomänen gehören api9.iosgaxx423.xyz und skt9.iosgaxx423.xyz. Beides sind anonyme Adressen im Ausland, die nicht leicht zurückverfolgt werden können.
Bkav empfiehlt Nutzern, keine Anwendungen außerhalb von Google Play zu installieren, insbesondere keine APK-Dateien, die per SMS, E-Mail oder über soziale Netzwerke empfangen wurden. Gewähren Sie keine Zugriffsrechte für Anwendungen unbekannter Herkunft. Unternehmen sollten Zugriffsüberwachungsmaßnahmen und DNS-Filter einsetzen und Warnmeldungen für Verbindungen zu ungewöhnlichen Domänen einrichten, die mit der Kontrollinfrastruktur der Malware in Zusammenhang stehen. Bei Verdacht auf eine Infektion trennen Sie sofort die Internetverbindung, sichern Sie wichtige Daten, setzen Sie Ihr Gerät auf die Werkseinstellungen zurück, ändern Sie alle Kontopasswörter und wenden Sie sich an Ihre Bank, um den Status Ihres Kontos zu überprüfen.
Quelle: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Foto] Entdecken Sie das „Wunder“ unter dem Meer von Gia Lai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[Foto] Nghe An: Provinzstraße 543D durch Überschwemmungen stark erodiert](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
Kommentar (0)