Bilgisayar korsanları, Devlet Bankası Vietnam (SBV), Sacombank (Sacombank Pay), Merkezi Elektrik Şirketi (EVNCPC), Otomobil Muayene Randevu Sistemi (TTDK) gibi devlet kurumlarının veya saygın finans kuruluşlarının sahte web siteleri oluştururlar... Uygulamalar kisvesi altında kötü amaçlı yazılımlar yüklerler, ardından kullanıcıları bunları telefonlarına indirmeleri için kandırırlar; bunun için e-posta gönderme, sohbet uygulamaları aracılığıyla mesajlaşma veya arama motorlarında reklam yayınlama gibi birçok farklı senaryo kullanırlar...
Sahte uygulama, gerçek uygulamayla aynı adı taşıyor, ancak farklı bir uzantıya (örneğin SBV.apk) sahip ve Amazon S3 bulutunda depolanıyor. Bu da bilgisayar korsanlarının kötü amaçlı içeriği güncellemesini, değiştirmesini ve gizlemesini kolaylaştırıyor. Sahte uygulama yüklendikten sonra, kullanıcıdan Erişilebilirlik ve Katman izinleri de dahil olmak üzere sisteme derinlemesine erişim izni vermesini istiyor.
Bu iki hakkı bir araya getiren bilgisayar korsanları, kullanıcı işlemlerini izleyebilir, SMS mesajlarının içeriğini okuyabilir, OTP kodlarını alabilir, kişilere erişebilir ve hatta kullanıcılar adına hiçbir belirgin işaret bırakmadan işlem yapabilir.
Bkav Kötü Amaçlı Yazılım Analiz Merkezi uzmanları, RedHook'un kaynak kodunu çözümleyerek, bu virüsün ekran görüntüsü alma, mesaj gönderip alma, uygulama yükleme veya kaldırma, cihazları kilitleme ve kilidini açma ve sistem komutlarını çalıştırma dahil olmak üzere 34'e kadar uzaktan kontrol komutunu entegre ettiğini keşfetti. Cihaz ekranında görüntülenen tüm içeriği kaydetmek ve ardından kontrol sunucusuna aktarmak için MediaProjection API'sini kullanıyorlar.
RedHook, saldırganların cihaz yeniden başlatıldığında bile uzun süre cihaz üzerinde kontrol sahibi olmasını sağlayan bir JSON Web Token (JWT) kimlik doğrulama mekanizmasına sahiptir.
Bkav, analiz sürecinde Çince dilinde yazılmış çok sayıda kod parçası ve arayüz dizisinin yanı sıra hacker grubunun geliştirme kökenine ve Vietnam'da ortaya çıkan dolandırıcılık faaliyetleriyle ilgili RedHook dağıtım kampanyasına dair çok sayıda açık ize rastladı.
Örneğin, geçmişte kötü amaçlı yazılım yaymak için istismar edilen popüler bir güzellik hizmeti olan mailisa[.]me alan adının kullanılması, RedHook'un tek başına faaliyet göstermediğini, hem teknik hem de taktiksel açıdan karmaşık bir dizi organize saldırı kampanyasının ürünü olduğunu göstermektedir. Bu kampanyada kullanılan kontrol sunucusu alan adları arasında, her ikisi de yurtdışında bulunan ve kolayca izlenemeyen anonim adresler olan api9.iosgaxx423.xyz ve skt9.iosgaxx423.xyz bulunmaktadır.
Bkav, kullanıcıların özellikle kısa mesajlar, e-postalar veya sosyal ağlar aracılığıyla alınan APK dosyaları olmak üzere Google Play dışındaki uygulamaları kesinlikle yüklememelerini öneriyor. Kaynağı bilinmeyen uygulamalara erişim hakları vermeyin. Kuruluşların, erişim izleme önlemleri, DNS filtrelemesi ve kötü amaçlı yazılımın kontrol altyapısıyla ilgili olağandışı etki alanlarına bağlantılar için uyarılar ayarlaması gerekiyor. Bir enfeksiyondan şüpheleniyorsanız, derhal internet bağlantınızı kesin, önemli verilerinizi yedekleyin, fabrika ayarlarını geri yükleyin (fabrika ayarlarına sıfırlama), tüm hesap parolalarınızı değiştirin ve hesap durumunu kontrol etmek için bankanızla iletişime geçin.
Kaynak: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
Yorum (0)