Hackers criam sites falsos de agências estatais ou instituições financeiras respeitáveis, como: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... instalam malware disfarçados de aplicativos e enganam os usuários para que os baixem em seus telefones, usando muitos cenários diferentes, como envio de e-mails, mensagens de texto por meio de aplicativos de bate-papo ou veiculação de anúncios em mecanismos de busca...
O aplicativo falso se disfarça com o mesmo nome do aplicativo real, apenas com uma extensão diferente (por exemplo, SBV.apk) e é armazenado na nuvem Amazon S3, facilitando a atualização, alteração e ocultação de conteúdo malicioso por hackers. Uma vez instalado, o aplicativo falso solicita ao usuário acesso profundo ao sistema, incluindo permissões de Acessibilidade e Sobreposição.
Combinando esses dois direitos, os hackers podem monitorar as operações dos usuários, ler o conteúdo das mensagens SMS, obter códigos OTP, acessar contatos e até mesmo operar em nome dos usuários sem deixar nenhum sinal óbvio.
Ao descompilar o código-fonte do RedHook, especialistas do Centro de Análise de Malware do Bkav descobriram que este vírus integra até 34 comandos de controle remoto, incluindo capturas de tela, envio e recebimento de mensagens, instalação ou desinstalação de aplicativos, bloqueio e desbloqueio de dispositivos e execução de comandos do sistema. Eles usam a API MediaProjection para gravar todo o conteúdo exibido na tela do dispositivo e, em seguida, transferi-lo para o servidor de controle.
O RedHook tem um mecanismo de autenticação JSON Web Token (JWT), que ajuda os invasores a manter o controle do dispositivo por um longo tempo, mesmo quando o dispositivo é reinicializado.
Durante o processo de análise, o Bkav descobriu muitos segmentos de código e sequências de interface usando o idioma chinês, juntamente com muitos outros vestígios claros da origem do desenvolvimento do grupo de hackers, bem como da campanha de distribuição do RedHook relacionada a atividades fraudulentas que surgiram no Vietnã.
Por exemplo, o uso do nome de domínio mailisa[.]me, um popular serviço de beleza que já foi explorado no passado, para disseminar malware demonstra que o RedHook não opera sozinho, mas sim o produto de uma série de campanhas de ataque organizadas, sofisticadas tanto em aspectos técnicos quanto táticos. Os domínios de servidor de controle usados nesta campanha incluem api9.iosgaxx423.xyz e skt9.iosgaxx423.xyz, ambos endereços anônimos localizados no exterior e de difícil rastreamento.
O Bkav recomenda que os usuários não instalem aplicativos fora do Google Play, especialmente arquivos APK recebidos por mensagens de texto, e-mails ou redes sociais. Não conceda direitos de acessibilidade a aplicativos de origem desconhecida. As organizações precisam implementar medidas de monitoramento de acesso, filtragem de DNS e configurar alertas para conexões com domínios incomuns relacionados à infraestrutura de controle do malware. Se suspeitar de uma infecção, desconecte-se imediatamente da internet, faça backup de dados importantes, restaure as configurações de fábrica (redefinição de fábrica), altere todas as senhas da conta e entre em contato com o banco para verificar o status da conta.
Fonte: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Foto] Pronto para a Feira de Outono de 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/10/14/1760456672454_ndo_br_chi-9796-jpg.webp)
Comentário (0)