האקרים יוצרים אתרים מזויפים של סוכנויות ממשלתיות או מוסדות פיננסיים בעלי מוניטין כמו: הבנק הממלכתי של וייטנאם (SBV), Sacombank (Sacombank Pay), תאגיד החשמל המרכזי (EVNCPC), מערכת פגישות בדיקת רכב (TTDK)... מתקינים תוכנות זדוניות במסווה של אפליקציות, ואז מרמים משתמשים להוריד אותן לטלפונים שלהם, תוך שימוש בתרחישים רבים ושונים כמו שליחת מיילים, שליחת הודעות טקסט דרך אפליקציות צ'אט או הצגת מודעות במנועי חיפוש...
האפליקציה המזויפת מוסווית תחת אותו שם כמו האפליקציה האמיתית, רק עם סיומת שונה (למשל SBV.apk) ומאוחסנת בענן Amazon S3, מה שמקל על האקרים לעדכן, לשנות ולהסתיר תוכן זדוני. לאחר ההתקנה, האפליקציה המזויפת מבקשת מהמשתמש להעניק גישה עמוקה למערכת, כולל הרשאות נגישות ושכבת כיסוי.
בשילוב שתי זכויות אלו, האקרים יכולים לנטר פעולות משתמשים, לקרוא תוכן הודעות SMS, לקבל קודי OTP, לגשת לאנשי קשר ואפילו לפעול מטעם משתמשים מבלי להשאיר סימנים ברורים.
על ידי פירוק קוד המקור של RedHook, מומחים ממרכז ניתוח תוכנות זדוניות של Bkav גילו כי וירוס זה משלב עד 34 פקודות שליטה מרחוק, כולל צילום מסך, שליחה וקבלה של הודעות, התקנה או הסרה של יישומים, נעילה וביטול נעילה של מכשירים וביצוע פקודות מערכת. הם משתמשים בממשק ה-API של MediaProjection כדי להקליט את כל התוכן המוצג על מסך המכשיר ולאחר מכן להעביר אותו לשרת הבקרה.
ל-RedHook יש מנגנון אימות JSON Web Token (JWT), המסייע לתוקפים לשמור על שליטה במכשיר למשך זמן רב, אפילו לאחר אתחול המכשיר.
במהלך תהליך הניתוח, Bkav גילה קטעי קוד רבים ומחרוזות ממשק המשתמשות בשפה הסינית יחד עם עקבות ברורים רבים אחרים למקור הפיתוח של קבוצת ההאקרים, כמו גם לקמפיין ההפצה של RedHook הקשור לפעילויות הונאה שהופיעו בווייטנאם.
לדוגמה, השימוש בשם הדומיין mailisa[.]me, שירות יופי פופולרי שכבר נוצל בעבר, להפצת תוכנות זדוניות, מראה ש-RedHook אינה פועלת לבדה אלא היא תוצר של סדרה של קמפיינים מאורגנים של תקיפה, המתוחכמים הן בהיבטים טכניים והן בהיבטים טקטיים. דומייני שרת הבקרה בהם נעשה שימוש בקמפיין זה כוללים api9.iosgaxx423.xyz ו-skt9.iosgaxx423.xyz, שתיהן כתובות אנונימיות הממוקמות בחו"ל ולא ניתן לאתר אותן בקלות.
Bkav ממליצה למשתמשים בהחלט לא להתקין אפליקציות מחוץ ל-Google Play, במיוחד קבצי APK המתקבלים באמצעות הודעות טקסט, מיילים או רשתות חברתיות. אין להעניק זכויות נגישות לאפליקציות ממקור לא ידוע. ארגונים צריכים לפרוס אמצעי ניטור גישה, סינון DNS ולהגדיר אזהרות עבור חיבורים לדומיינים יוצאי דופן הקשורים לתשתית הבקרה של התוכנה הזדונית. אם אתם חושדים בהדבקה, יש להתנתק מיד מהאינטרנט, לגבות נתונים חשובים, לשחזר את הגדרות היצרן (איפוס להגדרות היצרן), לשנות את כל סיסמאות החשבון ולפנות לבנק כדי לבדוק את מצב החשבון.
מקור: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[תמונה] ראש הממשלה פאם מין צ'ין עומד בראש הישיבה השנייה של ועדת ההיגוי לפיתוח כלכלי פרטי.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
תגובה (0)