A hackerek állami ügynökségek vagy jó hírű pénzintézetek hamis weboldalait hozzák létre, mint például: Vietnami Állami Bank (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)..., rosszindulatú programokat telepítenek alkalmazások álcája alatt, majd sokféle forgatókönyvet alkalmaznak, például e-mailek küldését, SMS-ezést csevegőalkalmazásokon keresztül vagy hirdetések futtatását a keresőmotorokban...
A hamis alkalmazás ugyanazzal a névvel van álcázva, mint az igazi alkalmazás, csak más kiterjesztéssel (pl. SBV.apk), és az Amazon S3 felhőben tárolódik, így a hackerek könnyen frissíthetik, módosíthatják és elrejthetik a rosszindulatú tartalmakat. A telepítés után a hamis alkalmazás mélyreható hozzáférést kér a felhasználótól a rendszerhez, beleértve az akadálymentesítési és az átfedési engedélyeket.
E két jog kombinálásával a hackerek figyelhetik a felhasználói műveleteket, elolvashatják az SMS-üzenetek tartalmát, lekérhetik az OTP-kódokat, hozzáférhetnek a névjegyekhez, sőt, a felhasználók nevében is cselekedhetnek anélkül, hogy bármilyen nyilvánvaló jelet hagynának hátra.
A RedHook forráskódjának dekompilálásával a Bkav kártevőelemző központjának szakértői felfedezték, hogy a vírus akár 34 távvezérlési parancsot is képes integrálni, beleértve a képernyőképek készítését, üzenetek küldését és fogadását, alkalmazások telepítését vagy eltávolítását, eszközök zárolását és feloldását, valamint rendszerparancsok végrehajtását. A MediaProjection API-t használják az eszköz képernyőjén megjelenített összes tartalom rögzítésére, majd a vezérlőszerverre való továbbítására.
A RedHook rendelkezik egy JSON Web Token (JWT) hitelesítési mechanizmussal, amely segít a támadóknak hosszú ideig fenntartani az eszköz feletti irányítást, még akkor is, ha az eszköz újraindul.
Az elemzési folyamat során a Bkav számos kínai nyelvű kódszegmenst és interfész karakterláncot fedezett fel, valamint számos más egyértelmű nyomot a hackercsoport fejlesztésének eredetéről, valamint a RedHook terjesztési kampányról, amely a Vietnámban megjelent csalárd tevékenységekkel kapcsolatos.
Például a mailisa[.]me domainnév – egy népszerű szépségápolási szolgáltatás, amelyet a múltban már kihasználtak – használata rosszindulatú programok terjesztésére azt mutatja, hogy a RedHook nem egyedül működik, hanem egy sor szervezett támadási kampány eredménye, amelyek mind technikai, mind taktikai szempontból kifinomultak. A kampányban használt vezérlőszerver-domének közé tartozik az api9.iosgaxx423.xyz és az skt9.iosgaxx423.xyz, amelyek mindkettő külföldi, névtelen cím, és nem könnyen nyomon követhető.
A Bkav azt javasolja, hogy a felhasználók semmilyen módon ne telepítsenek a Google Playen kívüli alkalmazásokat, különösen ne a szöveges üzeneteken, e-mailekben vagy közösségi hálózatokon keresztül kapott APK fájlokat. Ne adjon hozzáférési jogokat ismeretlen eredetű alkalmazásoknak. A szervezeteknek hozzáférés-felügyeleti intézkedéseket, DNS-szűrést kell alkalmazniuk, és figyelmeztetéseket kell beállítaniuk a rosszindulatú program vezérlőinfrastruktúrájához kapcsolódó szokatlan domainekhez való csatlakozásokra. Ha fertőzés gyanúja merül fel, azonnal csatlakozzon le az internetről, készítsen biztonsági másolatot a fontos adatokról, állítsa vissza a gyári beállításokat (gyári visszaállítás), változtassa meg az összes fiók jelszavát, és vegye fel a kapcsolatot a bankkal a számla állapotának ellenőrzése érdekében.
Forrás: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
Hozzászólás (0)