Les pirates informatiques créent de faux sites Web d'agences gouvernementales ou d'institutions financières réputées telles que : State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... installent des logiciels malveillants sous le couvert d'applications, puis incitent les utilisateurs à les télécharger sur leurs téléphones, en utilisant de nombreux scénarios différents tels que l'envoi d'e-mails, l'envoi de SMS via des applications de chat ou la diffusion de publicités sur les moteurs de recherche...
La fausse application porte le même nom que la vraie application, mais avec une extension différente (par exemple, SBV.apk). Elle est stockée sur le cloud Amazon S3, ce qui permet aux pirates de mettre à jour, de modifier et de masquer facilement du contenu malveillant. Une fois installée, la fausse application demande à l'utilisateur d'accorder un accès profond au système, notamment les autorisations d'accessibilité et de superposition.
En combinant ces deux droits, les pirates peuvent surveiller les opérations des utilisateurs, lire le contenu des messages SMS, obtenir des codes OTP, accéder aux contacts et même opérer au nom des utilisateurs sans laisser de traces évidentes.
En décompilant le code source de RedHook, les experts du Centre d'analyse des logiciels malveillants de Bkav ont découvert que le virus intègre jusqu'à 34 commandes de contrôle à distance, notamment la prise de captures d'écran, l'envoi et la réception de messages, l'installation et la désinstallation d'applications, le verrouillage et le déverrouillage d'appareils et l'exécution de commandes système. Ils utilisent l'API MediaProjection pour enregistrer tout le contenu affiché sur l'écran de l'appareil, puis le transférer vers le serveur de contrôle.
RedHook dispose d'un mécanisme d'authentification JSON Web Token (JWT), qui aide les attaquants à garder le contrôle de l'appareil pendant une longue période, même lorsque l'appareil est redémarré.
Au cours de l'analyse, Bkav a découvert de nombreux segments de code et chaînes d'interface utilisant la langue chinoise ainsi que de nombreuses autres traces claires de l'origine du développement du groupe de hackers ainsi que de la campagne de distribution RedHook liée aux activités frauduleuses apparues au Vietnam.
Par exemple, l'utilisation du nom de domaine mailisa[.]me, un service de beauté populaire qui a été exploité par le passé, pour diffuser des logiciels malveillants montre que RedHook n'agit pas seul, mais est le produit d'une série d'attaques organisées, sophistiquées tant sur le plan technique que tactique. Les domaines de serveur de contrôle utilisés dans cette campagne incluent api9.iosgaxx423.xyz et skt9.iosgaxx423.xyz, deux adresses anonymes situées à l'étranger et difficiles à retracer.
Bkav recommande aux utilisateurs de ne surtout pas installer d'applications extérieures à Google Play, en particulier les fichiers APK reçus par SMS, e-mail ou sur les réseaux sociaux. N'accordez pas de droits d'accès aux applications d'origine inconnue. Les organisations doivent déployer des mesures de surveillance des accès, un filtrage DNS et configurer des alertes pour les connexions à des domaines inhabituels liés à l'infrastructure de contrôle du logiciel malveillant. Si vous suspectez une infection, déconnectez-vous immédiatement d'Internet, sauvegardez vos données importantes, effectuez une réinitialisation d'usine, modifiez tous les mots de passe de vos comptes et contactez votre banque pour vérifier l'état de votre compte.
Source : https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Photo] Découvrez la « merveille » sous la mer de Gia Lai](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[Photo] Nghe An : La route provinciale 543D gravement érodée en raison des inondations](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
Comment (0)