Τα τηλέφωνα Android στο Βιετνάμ γίνονται στόχος επιθέσεων

Οι χάκερ δημιουργούν ψεύτικες ιστοσελίδες κρατικών υπηρεσιών ή αξιόπιστων χρηματοπιστωτικών ιδρυμάτων όπως: Κρατική Τράπεζα του Βιετνάμ (SBV), Sacombank (Sacombank Pay), Κεντρική Εταιρεία Ενέργειας (EVNCPC), Σύστημα Ραντεβού Επιθεώρησης Αυτοκινήτων (TTDK)... εγκαθιστούν κακόβουλο λογισμικό με το πρόσχημα εφαρμογών και στη συνέχεια ξεγελούν τους χρήστες ώστε να τις κατεβάσουν στα τηλέφωνά τους, χρησιμοποιώντας πολλά διαφορετικά σενάρια, όπως αποστολή email, αποστολή μηνυμάτων μέσω εφαρμογών συνομιλίας ή προβολή διαφημίσεων σε μηχανές αναζήτησης...

Η ψεύτικη εφαρμογή είναι μεταμφιεσμένη με το ίδιο όνομα με την πραγματική εφαρμογή, απλώς με διαφορετική επέκταση (π.χ. SBV.apk) και είναι αποθηκευμένη στο cloud του Amazon S3, διευκολύνοντας τους χάκερ να ενημερώνουν, να αλλάζουν και να αποκρύπτουν κακόβουλο περιεχόμενο. Μόλις εγκατασταθεί, η ψεύτικη εφαρμογή ζητά από τον χρήστη να παραχωρήσει βαθιά πρόσβαση στο σύστημα, συμπεριλαμβανομένων των δικαιωμάτων Προσβασιμότητας και Επικάλυψης.

Συνδυάζοντας αυτά τα δύο δικαιώματα, οι χάκερ μπορούν να παρακολουθούν τις λειτουργίες των χρηστών, να διαβάζουν το περιεχόμενο των μηνυμάτων SMS, να λαμβάνουν κωδικούς OTP, να έχουν πρόσβαση σε επαφές, ακόμη και να λειτουργούν εκ μέρους των χρηστών χωρίς να αφήνουν εμφανή σημάδια.

Αποσυμπιλώντας τον πηγαίο κώδικα του RedHook, ειδικοί από το Κέντρο Ανάλυσης Κακόβουλου Λογισμικού του Bkav ανακάλυψαν ότι αυτός ο ιός ενσωματώνει έως και 34 εντολές τηλεχειρισμού, όπως λήψη στιγμιότυπων οθόνης, αποστολή και λήψη μηνυμάτων, εγκατάσταση ή απεγκατάσταση εφαρμογών, κλείδωμα και ξεκλείδωμα συσκευών και εκτέλεση εντολών συστήματος. Χρησιμοποιούν το MediaProjection API για να καταγράφουν όλο το περιεχόμενο που εμφανίζεται στην οθόνη της συσκευής και στη συνέχεια να το μεταφέρουν στον διακομιστή ελέγχου.

Το RedHook διαθέτει έναν μηχανισμό ελέγχου ταυτότητας JSON Web Token (JWT), ο οποίος βοηθά τους εισβολείς να διατηρούν τον έλεγχο της συσκευής για μεγάλο χρονικό διάστημα, ακόμα και όταν η συσκευή επανεκκινείται.

Κατά τη διάρκεια της διαδικασίας ανάλυσης, το Bkav ανακάλυψε πολλά τμήματα κώδικα και συμβολοσειρές διεπαφής που χρησιμοποιούν την κινεζική γλώσσα, μαζί με πολλά άλλα σαφή ίχνη της προέλευσης ανάπτυξης της ομάδας χάκερ, καθώς και της καμπάνιας διανομής RedHook που σχετίζεται με δόλιες δραστηριότητες που έχουν εμφανιστεί στο Βιετνάμ.

Για παράδειγμα, η χρήση του ονόματος τομέα mailisa[.]me, μιας δημοφιλούς υπηρεσίας ομορφιάς που έχει αξιοποιηθεί στο παρελθόν για τη διάδοση κακόβουλου λογισμικού, δείχνει ότι η RedHook δεν λειτουργεί μόνη της, αλλά είναι προϊόν μιας σειράς οργανωμένων καμπανιών επίθεσης, οι οποίες είναι εξελιγμένες τόσο από τεχνικής όσο και από τακτικής άποψης. Τα ονόματα τομέα διακομιστή ελέγχου που χρησιμοποιούνται σε αυτήν την καμπάνια περιλαμβάνουν τα api9.iosgaxx423.xyz και skt9.iosgaxx423.xyz, τα οποία είναι και τα δύο ανώνυμες διευθύνσεις που βρίσκονται στο εξωτερικό και δεν μπορούν να εντοπιστούν εύκολα.

Πηγή: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html