Hackare skapar falska webbplatser för statliga myndigheter eller välrenommerade finansinstitut som: State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK)... installerar skadlig kod under täckmantel av appar och lurar sedan användare att ladda ner dem till sina telefoner med hjälp av många olika scenarier som att skicka e-post, sms:a via chattappar eller visa annonser på sökmotorer...
Den falska appen är förklädd med samma namn som den riktiga appen, bara med en annan filändelse (t.ex. SBV.apk) och lagras i Amazon S3-molnet, vilket gör det enkelt för hackare att uppdatera, ändra och dölja skadligt innehåll. När den falska appen är installerad ber den användaren att ge djupgående åtkomst till systemet, inklusive åtkomst- och överlagringsbehörigheter.
Genom att kombinera dessa två rättigheter kan hackare övervaka användaråtgärder, läsa innehåll i SMS-meddelanden, få engångskoder, komma åt kontakter och till och med agera å användares vägnar utan att lämna några uppenbara tecken.
Genom att dekompilera källkoden för RedHook upptäckte experter från Bkavs Malware Analysis Center att detta virus integrerar upp till 34 fjärrkontrollkommandon, inklusive att ta skärmdumpar, skicka och ta emot meddelanden, installera eller avinstallera program, låsa och låsa upp enheter och köra systemkommandon. De använder MediaProjection API för att spela in allt innehåll som visas på enhetens skärm och sedan överföra det till kontrollservern.
RedHook har en JSON Web Token (JWT)-autentiseringsmekanism, vilket hjälper angripare att behålla kontrollen över enheten under lång tid, även när enheten startas om.
Under analysprocessen upptäckte Bkav många kodsegment och gränssnittssträngar som använde kinesiska språket tillsammans med många andra tydliga spår av hackergruppens utvecklingsursprung samt RedHook-distributionskampanjen relaterad till bedrägerier som har uppstått i Vietnam.
Till exempel visar användningen av domännamnet mailisa[.]me, en populär skönhetstjänst som har utnyttjats tidigare, för att sprida skadlig kod att RedHook inte verkar ensamt utan är produkten av en serie organiserade attackkampanjer, som är sofistikerade både tekniskt och taktiskt. Kontrollserverdomänerna som används i denna kampanj inkluderar api9.iosgaxx423.xyz och skt9.iosgaxx423.xyz, vilka båda är anonyma adresser utomlands och inte lätt kan spåras.
Bkav rekommenderar att användare absolut inte installerar appar utanför Google Play, särskilt inte APK-filer som tas emot via sms, e-post eller sociala nätverk. Ge inte åtkomsträttigheter till appar av okänt ursprung. Organisationer måste implementera åtkomstövervakningsåtgärder, DNS-filtrering och ställa in varningar för anslutningar till ovanliga domäner relaterade till skadlig programvaras kontrollinfrastruktur. Om du misstänker en infektion, koppla omedelbart bort från internet, säkerhetskopiera viktiga data, återställ fabriksinställningarna (fabriksåterställning), ändra alla kontolösenord och kontakta banken för att kontrollera kontostatusen.
Källa: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Foto] Premiärminister Pham Minh Chinh leder det andra mötet i styrkommittén för privat ekonomisk utveckling.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Kommentar (0)