Hacker erstellen gefälschte Webseiten von staatlichen Behörden oder renommierten Finanzinstituten wie der vietnamesischen Staatsbank (SBV), Sacombank (Sacombank Pay), der vietnamesischen Zentralen Energiegesellschaft (EVNCPC) und dem System zur Terminvereinbarung für die Kfz-Prüfstelle (TTDK). Sie installieren Schadsoftware getarnt als Anwendungen und verleiten Nutzer mithilfe verschiedener Methoden, wie E-Mails, Chatnachrichten oder Anzeigen in Suchmaschinen, zum Herunterladen auf ihre Smartphones.
Die gefälschte App ist unter demselben Namen wie die Original-App getarnt, nur mit einer anderen Dateiendung (z. B. SBV.apk). Sie wird in der Amazon S3-Cloud gespeichert, was es Hackern erleichtert, schädliche Inhalte zu aktualisieren, zu ändern und zu verbergen. Nach der Installation fordert die gefälschte App den Benutzer auf, weitreichende Systemzugriffsrechte zu gewähren, darunter die Berechtigungen für Bedienungshilfen und Overlays.
Durch die Kombination dieser beiden Rechte können Hacker die Aktivitäten der Benutzer überwachen, SMS-Nachrichteninhalte lesen, OTP-Codes erhalten, auf Kontakte zugreifen und sogar im Namen der Benutzer agieren, ohne offensichtliche Spuren zu hinterlassen.
Durch die Dekompilierung des Quellcodes von RedHook entdeckten Experten des Malware-Analysezentrums von Bkav, dass dieser Virus bis zu 34 Fernsteuerungsbefehle integriert. Dazu gehören das Erstellen von Screenshots, das Senden und Empfangen von Nachrichten, das Installieren und Deinstallieren von Anwendungen, das Sperren und Entsperren von Geräten sowie das Ausführen von Systembefehlen. Mithilfe der MediaProjection-API zeichnen sie alle auf dem Gerätebildschirm angezeigten Inhalte auf und übertragen diese anschließend an den Kontrollserver.
RedHook verfügt über einen JSON Web Token (JWT)-Authentifizierungsmechanismus, der Angreifern hilft, die Kontrolle über das Gerät über einen langen Zeitraum zu behalten, selbst wenn das Gerät neu gestartet wird.
Während des Analyseprozesses entdeckte Bkav zahlreiche Codeabschnitte und Schnittstellenzeichenfolgen in chinesischer Sprache sowie viele weitere klare Spuren des Entwicklungsursprungs der Hackergruppe und der RedHook-Verbreitungskampagne im Zusammenhang mit betrügerischen Aktivitäten, die in Vietnam aufgetreten sind.
Beispielsweise zeigt die Verwendung der Domain mailisa[.]me, eines beliebten Beauty-Dienstes, der bereits in der Vergangenheit zur Verbreitung von Schadsoftware missbraucht wurde, dass RedHook nicht allein agiert, sondern das Ergebnis einer Reihe organisierter Angriffskampagnen ist, die sowohl technisch als auch taktisch ausgefeilt sind. Zu den in dieser Kampagne verwendeten Kontrollserver-Domains gehören api9.iosgaxx423.xyz und skt9.iosgaxx423.xyz. Beide sind anonyme Adressen im Ausland und lassen sich nicht ohne Weiteres zurückverfolgen.
Bkav empfiehlt dringend, keine Anwendungen außerhalb von Google Play zu installieren, insbesondere keine APK-Dateien, die per SMS, E-Mail oder über soziale Netzwerke empfangen werden. Apps unbekannter Herkunft sollten keine Zugriffsrechte gewährt werden. Unternehmen sollten Maßnahmen zur Zugriffsüberwachung und DNS-Filterung implementieren sowie Warnungen für Verbindungen zu ungewöhnlichen Domains einrichten, die mit der Kontrollinfrastruktur der Malware in Verbindung stehen. Bei Verdacht auf eine Infektion trennen Sie umgehend die Internetverbindung, sichern Sie wichtige Daten, setzen Sie Ihr System auf Werkseinstellungen zurück, ändern Sie alle Kontopasswörter und kontaktieren Sie Ihre Bank, um den Kontostatus zu überprüfen.
Quelle: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
Kommentar (0)