هکرها وبسایتهای جعلی از سازمانهای دولتی یا مؤسسات مالی معتبر مانند: بانک دولتی ویتنام (SBV)، ساکومبانک (Sacombank Pay)، شرکت برق مرکزی (EVNCPC)، سیستم تعیین وقت بازرسی خودرو (TTDK) ایجاد میکنند... بدافزارها را تحت پوشش برنامهها نصب میکنند، سپس کاربران را فریب میدهند تا آنها را روی تلفنهای خود دانلود کنند، با استفاده از سناریوهای مختلف مانند ارسال ایمیل، پیامک از طریق برنامههای چت یا اجرای تبلیغات در موتورهای جستجو...
این برنامه جعلی با همان نام برنامه اصلی، فقط با پسوند متفاوت (مثلاً SBV.apk) خود را پنهان میکند و در فضای ابری Amazon S3 ذخیره میشود و بهروزرسانی، تغییر و پنهان کردن محتوای مخرب را برای هکرها آسان میکند. پس از نصب، برنامه جعلی از کاربر میخواهد که دسترسی عمیق به سیستم، از جمله مجوزهای Accessibility و Overlay را اعطا کند.
با ترکیب این دو حق، هکرها میتوانند عملیات کاربر را رصد کنند، محتوای پیامک را بخوانند، کدهای OTP را دریافت کنند، به مخاطبین دسترسی پیدا کنند و حتی بدون برجای گذاشتن هیچ نشانهای، از طرف کاربران فعالیت کنند.
با تجزیه کد منبع RedHook، متخصصان مرکز تحلیل بدافزار Bkav کشف کردند که این ویروس تا ۳۴ دستور کنترل از راه دور را در خود جای داده است، از جمله گرفتن اسکرین شات، ارسال و دریافت پیام، نصب یا حذف برنامهها، قفل کردن و باز کردن قفل دستگاهها و اجرای دستورات سیستمی. آنها از API MediaProjection برای ضبط تمام محتوای نمایش داده شده روی صفحه دستگاه و سپس انتقال آن به سرور کنترل استفاده میکنند.
RedHook دارای یک مکانیزم احراز هویت JSON Web Token (JWT) است که به مهاجمان کمک میکند تا کنترل دستگاه را برای مدت طولانی، حتی زمانی که دستگاه مجدداً راهاندازی میشود، در دست داشته باشند.
در طول فرآیند تجزیه و تحلیل، Bkav بسیاری از بخشهای کد و رشتههای رابط را که از زبان چینی استفاده میکردند، به همراه بسیاری از آثار واضح دیگر از منشأ توسعه این گروه هکری و همچنین کمپین توزیع RedHook مربوط به فعالیتهای کلاهبرداری که در ویتنام ظاهر شده بود، کشف کرد.
برای مثال، استفاده از نام دامنه mailisa[.]me، یک سرویس زیبایی محبوب که در گذشته مورد سوءاستفاده قرار گرفته است، برای انتشار بدافزار نشان میدهد که RedHook به تنهایی عمل نمیکند، بلکه محصول مجموعهای از کمپینهای حمله سازمانیافته است که از نظر فنی و تاکتیکی پیچیده هستند. دامنههای سرور کنترل مورد استفاده در این کمپین شامل api9.iosgaxx423.xyz و skt9.iosgaxx423.xyz هستند که هر دو آدرسهای ناشناسی هستند که در خارج از کشور قرار دارند و به راحتی قابل ردیابی نیستند.
Bkav توصیه میکند که کاربران مطلقاً برنامههایی را خارج از گوگل پلی نصب نکنند، به خصوص فایلهای APK که از طریق پیامک، ایمیل یا شبکههای اجتماعی دریافت میشوند. به برنامههایی که منشأ ناشناختهای دارند، حق دسترسی ندهید. سازمانها باید اقدامات نظارت بر دسترسی، فیلتر DNS و تنظیم هشدار برای اتصال به دامنههای غیرمعمول مرتبط با زیرساخت کنترل بدافزار را اعمال کنند. اگر به آلودگی مشکوک هستید، فوراً از اینترنت جدا شوید، از دادههای مهم نسخه پشتیبان تهیه کنید، تنظیمات کارخانه را بازیابی کنید (تنظیم مجدد کارخانه)، تمام رمزهای عبور حساب را تغییر دهید و برای بررسی وضعیت حساب با بانک تماس بگیرید.
منبع: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[عکس] نخست وزیر فام مین چین، ریاست دومین جلسه کمیته راهبری توسعه اقتصاد خصوصی را بر عهده دارد.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
نظر (0)