Los piratas informáticos crean sitios web falsos de agencias gubernamentales o instituciones financieras acreditadas como: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... instalan malware bajo la apariencia de aplicaciones, luego engañan a los usuarios para que las descarguen en sus teléfonos, utilizando muchos escenarios diferentes, como enviar correos electrónicos, enviar mensajes de texto a través de aplicaciones de chat o ejecutar anuncios en motores de búsqueda...
La aplicación falsa se disfraza con el mismo nombre que la aplicación real, solo que con una extensión diferente (p. ej., SBV.apk) y se almacena en la nube de Amazon S3, lo que facilita a los hackers actualizar, modificar y ocultar contenido malicioso. Una vez instalada, la aplicación falsa solicita al usuario acceso completo al sistema, incluyendo permisos de Accesibilidad y Superposición.
Combinando estos dos derechos, los piratas informáticos pueden monitorear las operaciones de los usuarios, leer el contenido de los mensajes SMS, obtener códigos OTP, acceder a contactos e incluso operar en nombre de los usuarios sin dejar señales obvias.
Al descompilar el código fuente de RedHook, los expertos del Centro de Análisis de Malware de Bkav descubrieron que el virus integra hasta 34 comandos de control remoto, como tomar capturas de pantalla, enviar y recibir mensajes, instalar o desinstalar aplicaciones, bloquear y desbloquear dispositivos y ejecutar comandos del sistema. Utilizan la API MediaProjection para grabar todo el contenido que se muestra en la pantalla del dispositivo y luego transferirlo al servidor de control.
RedHook tiene un mecanismo de autenticación JSON Web Token (JWT), que ayuda a los atacantes a mantener el control del dispositivo durante mucho tiempo, incluso cuando este se reinicia.
Durante el análisis, Bkav descubrió muchos segmentos de código y cadenas de interfaz que utilizan el idioma chino junto con muchos otros rastros claros del origen del desarrollo del grupo de piratas informáticos, así como la campaña de distribución de RedHook relacionada con actividades fraudulentas que han aparecido en Vietnam.
Por ejemplo, el uso del dominio mailisa[.]me, un popular servicio de belleza que ha sido explotado anteriormente, para propagar malware demuestra que RedHook no opera solo, sino que es el resultado de una serie de ataques organizados, sofisticados tanto en sus aspectos técnicos como tácticos. Los dominios del servidor de control utilizados en esta campaña incluyen api9.iosgaxx423.xyz y skt9.iosgaxx423.xyz, ambas direcciones anónimas ubicadas en el extranjero y difíciles de rastrear.
Bkav recomienda a los usuarios no instalar aplicaciones fuera de Google Play, especialmente archivos APK recibidos por SMS, correo electrónico o redes sociales. No otorgue permisos de acceso a aplicaciones de origen desconocido. Las organizaciones deben implementar medidas de monitoreo de acceso, filtrado DNS y configurar alertas para conexiones a dominios inusuales relacionados con la infraestructura de control del malware. Si sospecha una infección, desconéctese inmediatamente de Internet, haga una copia de seguridad de sus datos importantes, restablezca la configuración de fábrica, cambie todas las contraseñas de su cuenta y contacte con su banco para verificar el estado de su cuenta.
Fuente: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Foto] Descubre la "maravilla" bajo el mar de Gia Lai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[Foto] Nghe An: La carretera provincial 543D está gravemente erosionada debido a las inundaciones.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
Kommentar (0)