Hackare skapar falska webbplatser som utger sig för att vara statliga myndigheter eller välrenommerade finansinstitut som State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC) och Vehicle Inspection Appointment Booking System (TTDK)... De installerar skadlig programvara förklädd till appar och lurar sedan användare att ladda ner dem till sina telefoner med hjälp av olika scenarier som att skicka e-postmeddelanden, skicka meddelanden via chattappar eller visa annonser på sökmotorer...
Den falska appen är förklädd med ett namn som liknar den riktiga appen, men skiljer sig bara i filändelsen (t.ex. SBV.apk), och lagras i Amazon S3-molnet, vilket gör det enkelt för hackare att uppdatera, modifiera och dölja skadligt innehåll. När den falska appen är installerad ber den användare att ge djupgående systemåtkomstbehörigheter, inklusive tillgänglighetsbehörigheter och behörigheter för överlagringsvisning.
Genom att kombinera dessa två privilegier kan hackare övervaka användaraktivitet, läsa SMS-meddelandens innehåll, hämta engångskoder, komma åt kontakter och till och med utföra åtgärder å användarens vägnar utan att lämna några uppenbara spår.
Genom att bakåtkompilera RedHooks källkod upptäckte experter från Bkavs Malware Analysis Center att detta virus integrerar upp till 34 fjärrkontrollkommandon, inklusive att ta skärmdumpar, skicka och ta emot meddelanden, installera eller avinstallera program, låsa och låsa upp enheter och köra systemkommandon. Det använder MediaProjection API för att spela in allt innehåll som visas på enhetens skärm och skickar det sedan till kontrollservern.
RedHook använder JSON Web Token (JWT)-autentisering, vilket gör det möjligt för angripare att behålla kontrollen över enheten under längre perioder, även efter att den har startats om.
Under analysen upptäckte Bkav ett flertal kodavsnitt och gränssnittssträngar som använde kinesiska språket, tillsammans med andra tydliga ledtrådar om hackergruppens och RedHook-distributionskampanjens ursprung, vilka är kopplade till bedrägerier som tidigare har förekommit i Vietnam.
Till exempel visar användningen av domänen mailisa[.]me, en populär skönhetstjänst som tidigare utnyttjats, för att distribuera skadlig kod att RedHook inte fungerade isolerat utan var produkten av en serie organiserade attacker, noggrant orkestrerade både tekniskt och taktiskt. Kommando- och kontrollserverdomänerna som användes i denna kampanj inkluderade api9.iosgaxx423.xyz och skt9.iosgaxx423.xyz, båda anonyma adresser utomlands och svåra att spåra.
Bkav råder användare att absolut undvika att installera appar utanför Google Play, särskilt APK-filer som tas emot via sms, e-post eller sociala medier. Ge inte åtkomstbehörighet till appar från okända källor. Organisationer måste implementera åtgärder för att övervaka åtkomst, filtrera DNS och ställa in varningar för anslutningar till ovanliga domäner relaterade till infrastruktur för skadlig kodkontroll. Om du misstänker infektion, koppla omedelbart bort dig från internet, säkerhetskopiera viktiga data, gör en fabriksåterställning, ändra alla kontolösenord och kontakta din bank för att kontrollera din kontostatus.
Källa: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Bild] Hanois stadsliv under utmaningen av en "svidande het" miljö](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/25/1779706979265_nang-nong-t5-2026-minh-duy-7-4636-jpg.webp)
![[INFOGRAFIK] Redmi Watch 6 uppgraderas till AMOLED-skärm, batteritiden förblir utmärkt.](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2026/05/26/1779767297957_thumb-redmi-watch-6-jpg.webp)
Kommentar (0)