Telefoanele Android din Vietnam sunt ținta unor atacuri

Datele de pe telefonul victimei sunt comprimate cu gzip și trimise către serverul C&C.

Hackerii creează site-uri web false ale unor agenții de stat sau instituții financiare reputate, cum ar fi: Banca de Stat a Vietnamului (SBV), Sacombank (Sacombank Pay), Corporația Centrală de Energie (EVNCPC), Sistemul de Programări pentru Inspecția Automobilelor (TTDK)... instalează programe malware sub pretextul unor aplicații, apoi păcălesc utilizatorii să le descarce pe telefoanele lor, folosind diverse scenarii, cum ar fi trimiterea de e-mailuri, mesaje text prin aplicații de chat sau difuzarea de reclame pe motoarele de căutare...

Aplicația falsă este deghizată cu același nume ca aplicația reală, doar cu o extensie diferită (de exemplu, SBV.apk) și este stocată în cloud-ul Amazon S3, facilitând actualizarea, modificarea și ascunderea conținutului rău intenționat de către hackeri. Odată instalată, aplicația falsă solicită utilizatorului să acorde acces profund la sistem, inclusiv permisiuni de accesibilitate și suprapunere.

Combinând aceste două drepturi, hackerii pot monitoriza operațiunile utilizatorilor, pot citi conținutul mesajelor SMS, pot obține coduri OTP, pot accesa contactele și chiar pot opera în numele utilizatorilor fără a lăsa semne evidente.

Captură de ecran 2025-08-07 la 10.42.30.png

Prin decompilarea codului sursă al RedHook, experții de la Centrul de Analiză Malware al Bkav au descoperit că acest virus integrează până la 34 de comenzi de control de la distanță, inclusiv realizarea de capturi de ecran, trimiterea și primirea de mesaje, instalarea sau dezinstalarea aplicațiilor, blocarea și deblocarea dispozitivelor și executarea comenzilor de sistem. Aceștia folosesc API-ul MediaProjection pentru a înregistra tot conținutul afișat pe ecranul dispozitivului și apoi a-l transfera către serverul de control.

RedHook are un mecanism de autentificare JSON Web Token (JWT), care ajută atacatorii să mențină controlul asupra dispozitivului pentru o perioadă lungă de timp, chiar și atunci când dispozitivul este repornit.

În timpul procesului de analiză, Bkav a descoperit numeroase segmente de cod și șiruri de interfață care foloseau limba chineză, împreună cu multe alte urme clare ale originii dezvoltării grupului de hackeri, precum și campania de distribuție RedHook legată de activități frauduloase care au apărut în Vietnam.

De exemplu, utilizarea numelui de domeniu mailisa[.]me, un serviciu de înfrumusețare popular care a fost exploatat în trecut, pentru a răspândi programe malware arată că RedHook nu operează singur, ci este produsul unei serii de campanii de atac organizate, sofisticate atât din punct de vedere tehnic, cât și tactic. Domeniile serverului de control utilizate în această campanie includ api9.iosgaxx423.xyz și skt9.iosgaxx423.xyz, ambele fiind adrese anonime situate în străinătate și care nu pot fi ușor urmărite.

Bkav recomandă utilizatorilor să nu instaleze în niciun caz aplicații în afara Google Play, în special fișiere APK primite prin mesaje text, e-mailuri sau rețele sociale. Nu acordați drepturi de acces aplicațiilor de origine necunoscută. Organizațiile trebuie să implementeze măsuri de monitorizare a accesului, filtrare DNS și să configureze avertizări pentru conexiunile la domenii neobișnuite legate de infrastructura de control a malware-ului. Dacă suspectați o infecție, deconectați-vă imediat de la internet, faceți copii de rezervă ale datelor importante, restaurați setările din fabrică (resetare la setările din fabrică), schimbați toate parolele contului și contactați banca pentru a verifica starea contului.

BA TAN

Sursă: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html