ハッカーは、ベトナム国家銀行(SBV)、 サコム銀行(Sacombank Pay)、中央電力公社(EVNCPC)、車両検査予約システム(TTDK)などの政府機関や評判の良い金融機関になりすました偽のウェブサイトを作成します。ハッカーはアプリケーションに偽装したマルウェアをインストールし、電子メールの送信、チャットアプリケーションによるメッセージの送信、検索エンジンでの広告の実行など、さまざまなシナリオを使用してユーザーを騙してそれらを携帯電話にダウンロードさせます。
偽アプリは、ファイル拡張子(例:SBV.apk)のみが異なる、本物のアプリに似た名前で偽装され、Amazon S3クラウドに保存されます。そのため、ハッカーは悪意のあるコンテンツの更新、変更、隠蔽を容易に行うことができます。インストールされると、偽アプリはユーザーに、アクセシビリティやオーバーレイ表示の許可など、高度なシステムアクセス権限の付与を要求します。
これら 2 つの権限を組み合わせることで、ハッカーはユーザーのアクティビティを監視したり、SMS メッセージの内容を読んだり、OTP コードを取得したり、連絡先にアクセスしたり、さらには明らかな痕跡を残さずにユーザーに代わってアクションを実行したりすることができます。
Bkavマルウェア分析センターの専門家は、RedHookのソースコードをリバースエンジニアリングした結果、このウイルスがスクリーンショットの撮影、メッセージの送受信、アプリケーションのインストールとアンインストール、デバイスのロックとロック解除、システムコマンドの実行など、最大34のリモート制御コマンドを統合していることを発見しました。また、MediaProjection APIを使用して、デバイス画面に表示されるすべてのコンテンツを記録し、制御サーバーに送信します。
RedHook は JSON Web Token (JWT) 認証を使用するため、攻撃者はデバイスを再起動した後でも長期間にわたってデバイスの制御を維持できます。
分析中、Bkav は、中国語を使用した多数のコード スニペットとインターフェイス文字列、およびハッカー グループの起源と RedHook 配布キャンペーンに関するその他の明確な手がかりを発見しました。これらは、ベトナムで以前に発生した詐欺行為に関連しています。
例えば、以前も悪用された人気美容サービスであるmailisa[.]meドメインがマルウェア拡散に利用されていたことは、RedHookが単独で活動していたのではなく、技術的にも戦術的にも綿密に計画された一連の組織的攻撃の産物であったことを示しています。このキャンペーンで使用されたコマンド&コントロールサーバーのドメインには、api9.iosgaxx423.xyzとskt9.iosgaxx423.xyzが含まれていましたが、どちらも海外に所在する匿名のアドレスであり、追跡が容易ではありません。
Bkavは、Google Play以外から入手したアプリケーション、特にテキストメッセージ、メール、ソーシャルメディア経由で受信したAPKファイルのインストールは絶対に避けるようユーザーに勧告しています。提供元不明のアプリケーションにはアクセス権限を付与しないでください。組織は、アクセスの監視、DNSフィルタリング、マルウェア対策インフラに関連する異常なドメインへの接続に対するアラート設定などの対策を講じる必要があります。感染が疑われる場合は、直ちにインターネット接続を切断し、重要なデータをバックアップし、工場出荷時設定にリセットし、すべてのアカウントパスワードを変更し、銀行に連絡してアカウントの状況を確認してください。
出典: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
コメント (0)