वियतनाम में एंड्रॉयड फोन पर हमले हो रहे हैं

सुरक्षा समूह बीकेएवी ने अभी चेतावनी जारी की है कि रेडहुक मैलवेयर का उपयोग करके व्यक्तिगत डेटा, बैंक खातों को चुराने और उपकरणों पर नियंत्रण करने के लिए एक अभियान जानबूझकर एंड्रॉइड ऑपरेटिंग सिस्टम चलाने वाले मोबाइल उपकरणों पर वियतनामी उपयोगकर्ताओं को लक्षित कर रहा है।

Báo Sài Gòn Giải phóng•07/08/2025

पीड़ित के फोन पर मौजूद डेटा को gzip से संपीड़ित किया जाता है और C&C सर्वर पर भेजा जाता है।

हैकर्स सरकारी एजेंसियों या प्रतिष्ठित वित्तीय संस्थानों की फर्जी वेबसाइट बनाते हैं, जैसे: स्टेट बैंक ऑफ वियतनाम (एसबीवी), सैकोमबैंक (सैकोमबैंक पे), सेंट्रल पावर कॉरपोरेशन (ईवीएनसीपीसी), ऑटोमोबाइल इंस्पेक्शन अप्वाइंटमेंट सिस्टम (टीटीडीके)... एप्लीकेशन की आड़ में मैलवेयर इंस्टॉल करते हैं, फिर उपयोगकर्ताओं को धोखा देकर उन्हें अपने फोन में डाउनलोड करवा लेते हैं, इसके लिए वे कई अलग-अलग परिदृश्यों का उपयोग करते हैं, जैसे ईमेल भेजना, चैट एप्लीकेशन के माध्यम से टेक्स्ट भेजना या सर्च इंजन पर विज्ञापन चलाना...

नकली ऐप असली ऐप जैसा ही नाम रखता है, बस एक्सटेंशन अलग होता है (जैसे SBV.apk) और यह अमेज़न S3 क्लाउड पर स्टोर होता है, जिससे हैकर्स के लिए दुर्भावनापूर्ण सामग्री को अपडेट करना, बदलना और छिपाना आसान हो जाता है। इंस्टॉल होने के बाद, नकली ऐप उपयोगकर्ता से सिस्टम तक गहरी पहुँच मांगता है, जिसमें एक्सेसिबिलिटी और ओवरले अनुमतियाँ भी शामिल हैं।

इन दोनों अधिकारों के संयोजन से, हैकर्स उपयोगकर्ता के कार्यों की निगरानी कर सकते हैं, एसएमएस संदेश की सामग्री पढ़ सकते हैं, ओटीपी कोड प्राप्त कर सकते हैं, संपर्कों तक पहुंच सकते हैं, और यहां तक कि बिना कोई स्पष्ट संकेत छोड़े उपयोगकर्ताओं की ओर से काम भी कर सकते हैं।

रेडहुक के सोर्स कोड को डीकंपाइल करके, बीकेएवी के मैलवेयर विश्लेषण केंद्र के विशेषज्ञों ने पाया कि यह वायरस 34 रिमोट कंट्रोल कमांड्स को एकीकृत करता है, जिनमें स्क्रीनशॉट लेना, संदेश भेजना और प्राप्त करना, एप्लिकेशन इंस्टॉल या अनइंस्टॉल करना, डिवाइस लॉक और अनलॉक करना, और सिस्टम कमांड्स को निष्पादित करना शामिल है। वे डिवाइस स्क्रीन पर प्रदर्शित सभी सामग्री को रिकॉर्ड करने और फिर उसे कंट्रोल सर्वर पर स्थानांतरित करने के लिए मीडियाप्रोजेक्शन एपीआई का उपयोग करते हैं।

रेडहुक में JSON वेब टोकन (JWT) प्रमाणीकरण तंत्र है, जो हमलावरों को डिवाइस पर लंबे समय तक नियंत्रण बनाए रखने में मदद करता है, तब भी जब डिवाइस को रीबूट किया जाता है।

विश्लेषण प्रक्रिया के दौरान, Bkav ने चीनी भाषा का उपयोग करते हुए कई कोड खंडों और इंटरफ़ेस स्ट्रिंग्स की खोज की, साथ ही हैकर समूह के विकास के मूल के कई अन्य स्पष्ट निशानों के साथ-साथ वियतनाम में सामने आई धोखाधड़ी गतिविधियों से संबंधित रेडहुक वितरण अभियान की भी खोज की।

उदाहरण के लिए, mailisa[.]me डोमेन नाम का इस्तेमाल, जो एक लोकप्रिय सौंदर्य सेवा है और जिसका पहले भी मैलवेयर फैलाने के लिए इस्तेमाल किया जा चुका है, यह दर्शाता है कि RedHook अकेले काम नहीं कर रहा है, बल्कि यह कई संगठित हमले अभियानों का नतीजा है, जो तकनीकी और सामरिक दोनों ही दृष्टि से बेहद परिष्कृत हैं। इस अभियान में इस्तेमाल किए गए कंट्रोल सर्वर डोमेन में api9.iosgaxx423.xyz और skt9.iosgaxx423.xyz शामिल हैं, जो दोनों ही गुमनाम पते हैं और जिनका आसानी से पता नहीं लगाया जा सकता।

Bkav उपयोगकर्ताओं को सलाह देता है कि वे Google Play के बाहर के एप्लिकेशन, खासकर टेक्स्ट मैसेज, ईमेल या सोशल नेटवर्क के ज़रिए प्राप्त APK फ़ाइलें, बिल्कुल भी इंस्टॉल न करें। अज्ञात स्रोत वाले एप्लिकेशन को एक्सेसिबिलिटी अधिकार न दें। संगठनों को एक्सेस मॉनिटरिंग उपाय, DNS फ़िल्टरिंग और मैलवेयर के नियंत्रण ढाँचे से जुड़े असामान्य डोमेन से कनेक्शन के लिए चेतावनियाँ सेट अप करने की ज़रूरत है। अगर आपको किसी संक्रमण का संदेह है, तो तुरंत इंटरनेट से डिस्कनेक्ट करें, महत्वपूर्ण डेटा का बैकअप लें, फ़ैक्टरी सेटिंग्स (फ़ैक्टरी रीसेट) को पुनर्स्थापित करें, सभी खातों के पासवर्ड बदलें, और खाते की स्थिति की जाँच के लिए बैंक से संपर्क करें।

बा टैन

स्रोत: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html