Hakerzy tworzą fałszywe strony internetowe agencji państwowych lub renomowanych instytucji finansowych, takich jak: Bank Państwowy Wietnamu (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... instalują złośliwe oprogramowanie pod przykrywką aplikacji, a następnie nakłaniają użytkowników do pobrania ich na swoje telefony, wykorzystując na wiele sposobów, np. wysyłając wiadomości e-mail, wysyłając wiadomości tekstowe za pośrednictwem aplikacji do czatów lub wyświetlając reklamy w wyszukiwarkach...
Fałszywa aplikacja jest maskowana pod tą samą nazwą co prawdziwa aplikacja, tylko z innym rozszerzeniem (np. SBV.apk) i jest przechowywana w chmurze Amazon S3, co ułatwia hakerom aktualizowanie, zmienianie i ukrywanie złośliwej zawartości. Po zainstalowaniu fałszywa aplikacja prosi użytkownika o udzielenie głębokiego dostępu do systemu, w tym uprawnień dostępu i nakładki.
Łącząc te dwa prawa, hakerzy mogą monitorować działania użytkowników, czytać treść wiadomości SMS, uzyskiwać kody OTP, uzyskiwać dostęp do kontaktów, a nawet podejmować działania w imieniu użytkowników, nie pozostawiając po sobie żadnych oczywistych śladów.
Dekompilując kod źródłowy RedHook, eksperci z Centrum Analizy Złośliwego Oprogramowania Bkav odkryli, że wirus ten integruje do 34 poleceń zdalnego sterowania, w tym wykonywanie zrzutów ekranu, wysyłanie i odbieranie wiadomości, instalowanie i odinstalowywanie aplikacji, blokowanie i odblokowywanie urządzeń oraz wykonywanie poleceń systemowych. Używają oni interfejsu API MediaProjection do rejestrowania całej zawartości wyświetlanej na ekranie urządzenia, a następnie przesyłania jej do serwera sterującego.
RedHook korzysta z mechanizmu uwierzytelniania JSON Web Token (JWT), który umożliwia atakującym utrzymanie kontroli nad urządzeniem przez długi czas, nawet po jego ponownym uruchomieniu.
Podczas procesu analizy Bkav odkrył wiele segmentów kodu i ciągów interfejsu korzystających z języka chińskiego, a także wiele innych wyraźnych śladów pochodzenia grupy hakerów, a także kampanię dystrybucyjną RedHook związaną z oszukańczymi działaniami, które miały miejsce w Wietnamie.
Na przykład wykorzystanie nazwy domeny mailisa[.]me, popularnego serwisu kosmetycznego, który był już wykorzystywany w przeszłości, do rozprzestrzeniania złośliwego oprogramowania pokazuje, że RedHook nie działa w pojedynkę, ale jest efektem serii zorganizowanych kampanii ataków, zaawansowanych zarówno pod względem technicznym, jak i taktycznym. Domeny serwerów sterujących używane w tej kampanii to api9.iosgaxx423.xyz i skt9.iosgaxx423.xyz, które są anonimowymi adresami zlokalizowanymi za granicą i nie można ich łatwo namierzyć.
Bkav zaleca użytkownikom, aby absolutnie nie instalowali aplikacji spoza Google Play, zwłaszcza plików APK otrzymanych za pośrednictwem wiadomości tekstowych, e-maili lub portali społecznościowych. Nie należy udzielać uprawnień dostępu aplikacjom nieznanego pochodzenia. Organizacje muszą wdrożyć środki monitorowania dostępu, filtrowanie DNS i skonfigurować ostrzeżenia dotyczące połączeń z nietypowymi domenami związanymi z infrastrukturą kontrolną złośliwego oprogramowania. W przypadku podejrzenia infekcji należy natychmiast odłączyć się od internetu, wykonać kopię zapasową ważnych danych, przywrócić ustawienia fabryczne (reset), zmienić wszystkie hasła do kont i skontaktować się z bankiem w celu sprawdzenia statusu konta.
Źródło: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
Komentarz (0)