Au Vietnam, les téléphones Android sont la cible d'attaques.

Des pirates informatiques créent de faux sites web se faisant passer pour des agences d'État ou des institutions financières réputées, telles que la Banque d'État du Vietnam (SBV), Sacombank (Sacombank Pay), la Société centrale d'électricité (EVNCPC) ou le Système de prise de rendez-vous pour le contrôle technique automobile (TTDK). Ils installent ensuite des logiciels malveillants sous couvert d'applications, puis incitent les utilisateurs à les télécharger sur leurs téléphones, en utilisant divers stratagèmes comme l'envoi de courriels, de messages via des applications de messagerie instantanée ou la diffusion de publicités sur les moteurs de recherche.

La fausse application se fait passer pour l'application légitime, avec le même nom et une extension différente (par exemple, SBV.apk). Elle est hébergée sur le cloud Amazon S3, ce qui permet aux pirates de la mettre à jour, de la modifier et d'y dissimuler facilement du contenu malveillant. Une fois installée, la fausse application demande à l'utilisateur un accès étendu au système, notamment les autorisations d'accessibilité et de superposition.

En combinant ces deux droits, les pirates informatiques peuvent surveiller les opérations des utilisateurs, lire le contenu des SMS, obtenir les codes OTP, accéder aux contacts et même agir au nom des utilisateurs sans laisser de traces évidentes.

En décompilant le code source de RedHook, les experts du centre d'analyse des logiciels malveillants de Bkav ont découvert que ce virus intègre jusqu'à 34 commandes de contrôle à distance, notamment la prise de captures d'écran, l'envoi et la réception de messages, l'installation ou la désinstallation d'applications, le verrouillage et le déverrouillage d'appareils, ainsi que l'exécution de commandes système. Il utilise l'API MediaProjection pour enregistrer tout le contenu affiché sur l'écran de l'appareil et le transférer ensuite vers le serveur de contrôle.

RedHook dispose d'un mécanisme d'authentification JSON Web Token (JWT), qui permet aux attaquants de conserver le contrôle de l'appareil pendant une longue période, même après son redémarrage.

Au cours du processus d'analyse, Bkav a découvert de nombreux segments de code et chaînes d'interface utilisant la langue chinoise, ainsi que de nombreuses autres traces claires de l'origine du développement du groupe de pirates informatiques, ainsi que de la campagne de distribution RedHook liée à des activités frauduleuses apparues au Vietnam.

Par exemple, l'utilisation du nom de domaine mailisa[.]me, un service de beauté populaire déjà victime d'attaques malveillantes, pour diffuser un logiciel malveillant montre que RedHook n'agit pas seul, mais s'inscrit dans une série de campagnes d'attaques organisées, sophistiquées tant sur le plan technique que tactique. Les domaines des serveurs de contrôle utilisés dans cette campagne incluent api9.iosgaxx423.xyz et skt9.iosgaxx423.xyz, deux adresses anonymes situées à l'étranger et donc difficiles à tracer.

Source : https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html