Au Vietnam, les téléphones Android sont la cible d'attaques.

Les données présentes sur le téléphone de la victime sont compressées avec gzip et envoyées au serveur C&C.

Des pirates informatiques créent de faux sites web se faisant passer pour des agences d'État ou des institutions financières réputées, telles que la Banque d'État du Vietnam (SBV), Sacombank (Sacombank Pay), la Société centrale d'électricité (EVNCPC) ou le Système de prise de rendez-vous pour le contrôle technique automobile (TTDK). Ils installent ensuite des logiciels malveillants sous couvert d'applications, puis incitent les utilisateurs à les télécharger sur leurs téléphones, en utilisant divers stratagèmes comme l'envoi de courriels, de messages via des applications de messagerie instantanée ou la diffusion de publicités sur les moteurs de recherche.

La fausse application se fait passer pour l'application légitime, avec le même nom et une extension différente (par exemple, SBV.apk). Elle est hébergée sur le cloud Amazon S3, ce qui permet aux pirates de la mettre à jour, de la modifier et d'y dissimuler facilement du contenu malveillant. Une fois installée, la fausse application demande à l'utilisateur un accès étendu au système, notamment les autorisations d'accessibilité et de superposition.

En combinant ces deux droits, les pirates informatiques peuvent surveiller les opérations des utilisateurs, lire le contenu des SMS, obtenir les codes OTP, accéder aux contacts et même agir au nom des utilisateurs sans laisser de traces évidentes.

Capture d'écran 2025-08-07 à 10:42:30.png

En décompilant le code source de RedHook, les experts du centre d'analyse des logiciels malveillants de Bkav ont découvert que ce virus intègre jusqu'à 34 commandes de contrôle à distance, notamment la prise de captures d'écran, l'envoi et la réception de messages, l'installation ou la désinstallation d'applications, le verrouillage et le déverrouillage d'appareils, ainsi que l'exécution de commandes système. Il utilise l'API MediaProjection pour enregistrer tout le contenu affiché sur l'écran de l'appareil et le transférer ensuite vers le serveur de contrôle.

RedHook dispose d'un mécanisme d'authentification JSON Web Token (JWT), qui permet aux attaquants de conserver le contrôle de l'appareil pendant une longue période, même après son redémarrage.

Au cours du processus d'analyse, Bkav a découvert de nombreux segments de code et chaînes d'interface utilisant la langue chinoise, ainsi que de nombreuses autres traces claires de l'origine du développement du groupe de pirates informatiques, ainsi que de la campagne de distribution RedHook liée à des activités frauduleuses apparues au Vietnam.

Par exemple, l'utilisation du nom de domaine mailisa[.]me, un service de beauté populaire déjà victime d'attaques malveillantes, pour diffuser un logiciel malveillant montre que RedHook n'agit pas seul, mais s'inscrit dans une série de campagnes d'attaques organisées, sophistiquées tant sur le plan technique que tactique. Les domaines des serveurs de contrôle utilisés dans cette campagne incluent api9.iosgaxx423.xyz et skt9.iosgaxx423.xyz, deux adresses anonymes situées à l'étranger et donc difficiles à tracer.

Bkav recommande de ne surtout pas installer d'applications provenant de sources autres que Google Play, et en particulier les fichiers APK reçus par SMS, courriel ou réseaux sociaux. N'accordez aucune autorisation d'accès aux applications d'origine inconnue. Les organisations doivent mettre en place des mesures de surveillance des accès, un filtrage DNS et configurer des alertes pour les connexions à des domaines suspects liés à l'infrastructure de contrôle du logiciel malveillant. En cas de suspicion d'infection, déconnectez-vous immédiatement d'Internet, sauvegardez vos données importantes, restaurez les paramètres d'usine (réinitialisation d'usine), changez tous vos mots de passe et contactez votre banque pour vérifier l'état de vos comptes.

Comment (0)