Los hackers crean sitios web falsos de agencias estatales o instituciones financieras de renombre como el Banco Estatal de Vietnam (SBV), Sacombank (Sacombank Pay), la Corporación Central de Energía (EVNCPC) y el Sistema de Citas para la Inspección de Automóviles (TTDK). Instalan malware haciéndolo pasar por aplicaciones y luego engañan a los usuarios para que las descarguen en sus teléfonos, utilizando diversos métodos como el envío de correos electrónicos, mensajes de texto a través de aplicaciones de chat o la publicación de anuncios en motores de búsqueda.
La aplicación falsa se disfraza con el mismo nombre que la aplicación real, solo que con una extensión diferente (p. ej., SBV.apk), y se almacena en la nube de Amazon S3, lo que facilita a los hackers actualizarla, modificarla y ocultar contenido malicioso. Una vez instalada, la aplicación falsa solicita al usuario permisos de acceso profundo al sistema, incluidos los permisos de Accesibilidad y Superposición.
Al combinar estos dos derechos, los hackers pueden monitorear las operaciones de los usuarios, leer el contenido de los mensajes SMS, obtener códigos OTP, acceder a los contactos e incluso operar en nombre de los usuarios sin dejar rastro alguno.
Al descompilar el código fuente de RedHook, expertos del Centro de Análisis de Malware de Bkav descubrieron que este virus integra hasta 34 comandos de control remoto, incluyendo la captura de pantallas, el envío y la recepción de mensajes, la instalación y desinstalación de aplicaciones, el bloqueo y desbloqueo de dispositivos y la ejecución de comandos del sistema. Utiliza la API MediaProjection para grabar todo el contenido que se muestra en la pantalla del dispositivo y luego transferirlo al servidor de control.
RedHook cuenta con un mecanismo de autenticación JSON Web Token (JWT), que ayuda a los atacantes a mantener el control del dispositivo durante mucho tiempo, incluso cuando este se reinicia.
Durante el proceso de análisis, Bkav descubrió muchos segmentos de código y cadenas de interfaz que utilizaban el idioma chino, junto con muchas otras claras pistas del origen del desarrollo del grupo de hackers, así como de la campaña de distribución de RedHook relacionada con actividades fraudulentas que han aparecido en Vietnam.
Por ejemplo, el uso del dominio mailisa[.]me, un popular servicio de belleza que ya ha sido explotado anteriormente, para propagar malware demuestra que RedHook no actúa solo, sino que es el resultado de una serie de campañas de ataque organizadas y sofisticadas tanto en sus aspectos técnicos como tácticos. Los dominios del servidor de control utilizados en esta campaña incluyen api9.iosgaxx423.xyz y skt9.iosgaxx423.xyz, ambas direcciones anónimas ubicadas en el extranjero y difíciles de rastrear.
Bkav recomienda a los usuarios que no instalen aplicaciones fuera de Google Play, especialmente archivos APK recibidos por SMS, correo electrónico o redes sociales. No otorguen permisos de acceso a aplicaciones de origen desconocido. Las organizaciones deben implementar medidas de monitorización de acceso, filtrado DNS y configurar alertas para conexiones a dominios inusuales relacionados con la infraestructura de control del malware. Si sospecha de una infección, desconéctese inmediatamente de Internet, haga una copia de seguridad de sus datos importantes, restablezca la configuración de fábrica, cambie todas las contraseñas de sus cuentas y contacte con su banco para comprobar el estado de la cuenta.
Fuente: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Vídeo] Propaganda para prevenir delitos de alta tecnología en las escuelas](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/11/20/1763616226639_screenshot-2025-11-20-090427-copy-jpg.webp)
Kommentar (0)