해커는 베트남 국립은행(SBV), Sacombank (Sacombank Pay), 중앙전력공사(EVNCPC), 자동차 검사 예약 시스템(TTDK) 등 정부 기관이나 평판이 좋은 금융 기관의 가짜 웹사이트를 만들고, 애플리케이션인 것처럼 위장하여 맬웨어를 설치한 다음, 이메일을 보내거나, 채팅 애플리케이션을 통해 문자 메시지를 보내거나, 검색 엔진에 광고를 게재하는 등 다양한 시나리오를 이용해 사용자를 속여 이를 휴대폰에 다운로드하게 합니다.
가짜 앱은 실제 앱과 동일한 이름으로 위장하지만 확장자(예: SBV.apk)만 다르고 Amazon S3 클라우드에 저장되므로 해커가 악성 콘텐츠를 쉽게 업데이트, 변경 및 숨길 수 있습니다. 가짜 앱이 설치되면 사용자에게 접근성 및 오버레이 권한을 포함한 심층적인 시스템 접근 권한을 부여하도록 요청합니다.
해커는 이 두 가지 권한을 결합하여 사용자 작업을 모니터링하고, SMS 메시지 내용을 읽고, OTP 코드를 얻고, 연락처에 접근하고, 심지어 명확한 흔적을 남기지 않고 사용자를 대신하여 작업할 수도 있습니다.
Bkav 악성코드 분석 센터 전문가들은 RedHook 소스 코드를 디컴파일하여 이 바이러스가 스크린샷 촬영, 메시지 송수신, 애플리케이션 설치 및 제거, 기기 잠금 및 잠금 해제, 시스템 명령 실행 등 최대 34개의 원격 제어 명령을 통합한다는 사실을 발견했습니다. MediaProjection API를 사용하여 기기 화면에 표시되는 모든 콘텐츠를 녹화한 후 제어 서버로 전송합니다.
RedHook에는 JSON 웹 토큰(JWT) 인증 메커니즘이 있어 공격자가 기기를 재부팅하더라도 오랫동안 기기를 제어할 수 있습니다.
분석 과정에서 Bkav는 중국어를 사용한 많은 코드 세그먼트와 인터페이스 문자열을 발견했으며, 해커 그룹의 개발 원점을 나타내는 다른 많은 명확한 흔적과 베트남에서 발생한 사기 활동과 관련된 RedHook 배포 캠페인도 발견했습니다.
예를 들어, 과거에 악성코드 유포에 악용된 적이 있는 인기 뷰티 서비스인 mailisa[.]me 도메인 이름을 사용한 것은 RedHook이 단독으로 활동하는 것이 아니라 기술적, 전술적 측면에서 정교한 일련의 조직적 공격의 산물임을 보여줍니다. 이 캠페인에 사용된 제어 서버 도메인에는 api9.iosgaxx423.xyz와 skt9.iosgaxx423.xyz가 있는데, 두 도메인 모두 해외에 위치한 익명 주소로 추적이 쉽지 않습니다.
Bkav는 사용자에게 Google Play 외부 애플리케이션, 특히 문자 메시지, 이메일 또는 소셜 네트워크를 통해 수신된 APK 파일을 절대 설치하지 말 것을 권장합니다. 출처를 알 수 없는 애플리케이션에 접근 권한을 부여하지 마십시오. 조직은 접근 모니터링 조치, DNS 필터링을 구축하고, 맬웨어 제어 인프라와 관련된 비정상적인 도메인 연결에 대한 경고를 설정해야 합니다. 감염이 의심되는 경우 즉시 인터넷 연결을 끊고, 중요한 데이터를 백업하고, 공장 초기화를 수행하고, 모든 계좌 비밀번호를 변경하고, 은행에 연락하여 계좌 상태를 확인하십시오.
출처: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[사진] 가라이 바다 속의 '경이로움'을 발견하세요](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/6/befd4a58bb1245419e86ebe353525f97)
![[사진] 응에안성, 홍수로 543D 지방도 심각하게 침식돼](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/5/5759d3837c26428799f6d929fa274493)
댓글 (0)