वियतनाम में एंड्रॉयड फोन पर हमले हो रहे हैं

सुरक्षा समूह बीकेएवी ने अभी चेतावनी जारी की है कि रेडहुक मैलवेयर का उपयोग करके व्यक्तिगत डेटा, बैंक खातों को चुराने और उपकरणों पर नियंत्रण करने के लिए एक अभियान जानबूझकर एंड्रॉइड ऑपरेटिंग सिस्टम चलाने वाले मोबाइल उपकरणों पर वियतनामी उपयोगकर्ताओं को लक्षित कर रहा है।

Báo Sài Gòn Giải phóng•07/08/2025

पीड़ित के फोन पर मौजूद डेटा को gzip से संपीड़ित किया जाता है और C&C सर्वर पर भेजा जाता है।

हैकर्स सरकारी एजेंसियों या प्रतिष्ठित वित्तीय संस्थानों की नकली वेबसाइट बनाते हैं, जैसे: स्टेट बैंक ऑफ वियतनाम (एसबीवी), सैकोमबैंक (सैकोमबैंक पे), सेंट्रल पावर कॉर्पोरेशन (ईवीएनसीपीसी), ऑटोमोबाइल इंस्पेक्शन अप्वाइंटमेंट सिस्टम (टीटीडीके)... अनुप्रयोगों की आड़ में मैलवेयर इंस्टॉल करते हैं, फिर उपयोगकर्ताओं को अपने फोन पर डाउनलोड करने के लिए प्रेरित करते हैं, कई अलग-अलग परिदृश्यों का उपयोग करते हैं जैसे ईमेल भेजना, चैट अनुप्रयोगों के माध्यम से टेक्स्टिंग करना या खोज इंजन पर विज्ञापन चलाना...

नकली ऐप असली ऐप जैसा ही नाम रखता है, बस एक्सटेंशन अलग होता है (जैसे SBV.apk) और यह अमेज़न S3 क्लाउड पर स्टोर होता है, जिससे हैकर्स के लिए दुर्भावनापूर्ण सामग्री को अपडेट करना, बदलना और छिपाना आसान हो जाता है। इंस्टॉल होने के बाद, यह नकली ऐप उपयोगकर्ता से एक्सेसिबिलिटी और ओवरले अनुमतियों सहित गहन सिस्टम एक्सेस देने के लिए कहता है।

इन दोनों अधिकारों के संयोजन से, हैकर्स उपयोगकर्ता के कार्यों की निगरानी कर सकते हैं, एसएमएस संदेश की सामग्री पढ़ सकते हैं, ओटीपी कोड प्राप्त कर सकते हैं, संपर्कों तक पहुंच सकते हैं, और यहां तक कि बिना कोई स्पष्ट संकेत छोड़े उपयोगकर्ताओं की ओर से काम भी कर सकते हैं।

रेडहुक के सोर्स कोड को डीकंपाइल करके, बीकेएवी के मैलवेयर विश्लेषण केंद्र के विशेषज्ञों ने पाया कि यह वायरस 34 रिमोट कंट्रोल कमांड्स को एकीकृत करता है, जिनमें स्क्रीनशॉट लेना, संदेश भेजना और प्राप्त करना, एप्लिकेशन इंस्टॉल या अनइंस्टॉल करना, डिवाइस लॉक और अनलॉक करना, और सिस्टम कमांड्स को निष्पादित करना शामिल है। वे डिवाइस स्क्रीन पर प्रदर्शित सभी सामग्री को रिकॉर्ड करने और फिर उसे कंट्रोल सर्वर पर स्थानांतरित करने के लिए मीडियाप्रोजेक्शन एपीआई का उपयोग करते हैं।

रेडहुक में JSON वेब टोकन (JWT) प्रमाणीकरण तंत्र है, जो हमलावरों को डिवाइस पर लंबे समय तक नियंत्रण बनाए रखने में मदद करता है, तब भी जब डिवाइस को रीबूट किया जाता है।

विश्लेषण के दौरान, Bkav को चीनी भाषा का उपयोग करते हुए कई कोड खंडों और इंटरफ़ेस स्ट्रिंग्स के साथ-साथ हैकर समूह के विकास के मूल के कई अन्य स्पष्ट निशानों के साथ-साथ वियतनाम में सामने आई धोखाधड़ी गतिविधियों से संबंधित रेडहुक वितरण अभियान का भी पता चला।

उदाहरण के लिए, mailisa[.]me डोमेन नाम का इस्तेमाल, जो एक लोकप्रिय सौंदर्य सेवा है और जिसका पहले भी मैलवेयर फैलाने के लिए इस्तेमाल किया जा चुका है, यह दर्शाता है कि RedHook अकेले काम नहीं कर रहा है, बल्कि यह कई संगठित हमलों का नतीजा है, जो तकनीकी और सामरिक दोनों ही दृष्टि से बेहद जटिल हैं। इस अभियान में इस्तेमाल किए गए कंट्रोल सर्वर डोमेन में api9.iosgaxx423.xyz और skt9.iosgaxx423.xyz शामिल हैं, जो दोनों ही गुमनाम पते हैं और विदेशों में स्थित हैं और आसानी से पता नहीं लगाए जा सकते।

Bkav उपयोगकर्ताओं को सलाह देता है कि वे Google Play के बाहर के एप्लिकेशन, खासकर टेक्स्ट मैसेज, ईमेल या सोशल नेटवर्क के ज़रिए प्राप्त APK फ़ाइलें, बिल्कुल भी इंस्टॉल न करें। अज्ञात स्रोत वाले एप्लिकेशन को एक्सेस अधिकार न दें। संगठनों को एक्सेस मॉनिटरिंग उपाय, DNS फ़िल्टरिंग और मैलवेयर के नियंत्रण ढाँचे से जुड़े असामान्य डोमेन से कनेक्शन के लिए चेतावनियाँ सेट अप करने की ज़रूरत है। अगर आपको किसी संक्रमण का संदेह है, तो तुरंत इंटरनेट से डिस्कनेक्ट करें, महत्वपूर्ण डेटा का बैकअप लें, फ़ैक्टरी रीसेट करें, सभी खातों के पासवर्ड बदलें, और अपने खाते की स्थिति की जाँच के लिए अपने बैंक से संपर्क करें।

बा टैन

स्रोत: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html