Hackere lager falske nettsteder for statlige etater eller anerkjente finansinstitusjoner som: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... installerer skadelig programvare under dekke av apper, og lurer deretter brukere til å laste dem ned til telefonene sine ved hjelp av mange forskjellige scenarier som å sende e-post, sende tekstmeldinger via chat-applikasjoner eller kjøre annonser på søkemotorer...
Den falske appen er kamuflert med samme navn som den virkelige appen, bare med en annen filtype (f.eks. SBV.apk), og er lagret i Amazon S3-skyen, noe som gjør det enkelt for hackere å oppdatere, endre og skjule skadelig innhold. Når den falske appen er installert, ber den brukeren om å gi dyp tilgang til systemet, inkludert tilgjengelighet og overleggstillatelser.
Ved å kombinere disse to rettighetene kan hackere overvåke brukeroperasjoner, lese innhold i SMS-meldinger, få tilgang til engangskoder, få tilgang til kontakter og til og med operere på vegne av brukere uten å etterlate noen åpenbare tegn.
Ved å dekompilere kildekoden til RedHook oppdaget eksperter fra Bkavs Malware Analysis Center at dette viruset integrerer opptil 34 fjernkontrollkommandoer, inkludert å ta skjermbilder, sende og motta meldinger, installere eller avinstallere apper, låse og låse opp enheter og utføre systemkommandoer. De bruker MediaProjection API til å registrere alt innhold som vises på enhetsskjermen og deretter overføre det til kontrollserveren.
RedHook har en JSON Web Token (JWT)-autentiseringsmekanisme, som hjelper angripere med å opprettholde kontroll over enheten over lengre tid, selv når enheten startes på nytt.
Under analyseprosessen oppdaget Bkav mange kodesegmenter og grensesnittstrenger som brukte kinesisk språk, sammen med mange andre tydelige spor etter hackergruppens utviklingsopprinnelse, samt RedHook-distribusjonskampanjen knyttet til svindelaktiviteter som har dukket opp i Vietnam.
For eksempel viser bruken av domenenavnet mailisa[.]me, en populær skjønnhetstjeneste som har blitt utnyttet tidligere, for å spre skadelig programvare at RedHook ikke opererer alene, men er et produkt av en rekke organiserte angrepskampanjer, som er sofistikerte både teknisk og taktisk. Kontrollserverdomenene som brukes i denne kampanjen inkluderer api9.iosgaxx423.xyz og skt9.iosgaxx423.xyz, som begge er anonyme adresser i utlandet og ikke lett kan spores.
Bkav anbefaler at brukere absolutt ikke installerer apper utenfor Google Play, spesielt ikke APK-filer mottatt via tekstmeldinger, e-post eller sosiale nettverk. Ikke gi tilgangsrettigheter til apper av ukjent opprinnelse. Organisasjoner må iverksette tilgangsovervåkingstiltak, DNS-filtrering og sette opp advarsler for tilkoblinger til uvanlige domener relatert til skadevarens kontrollinfrastruktur. Hvis du mistenker en infeksjon, må du umiddelbart koble fra Internett, sikkerhetskopiere viktige data, gjenopprette fabrikkinnstillinger (fabrikktilbakestilling), endre alle kontopassord og kontakte banken for å sjekke kontostatusen.
Kilde: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Foto] Statsminister Pham Minh Chinh leder det andre møtet i styringskomiteen for privat økonomisk utvikling.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Kommentar (0)