Хакери створюють фальшиві веб-сайти державних установ або авторитетних фінансових установ, таких як: Державний банк В'єтнаму (SBV), Sacombank (Sacombank Pay), Центральна енергетична корпорація (EVNCPC), Система призначення автомобільних оглядів (TTDK)... встановлюють шкідливе програмне забезпечення під виглядом додатків, а потім обманом змушують користувачів завантажувати їх на свої телефони, використовуючи безліч різних сценаріїв, таких як надсилання електронних листів, текстові повідомлення через чат-додатки або показ реклами в пошукових системах...
Підроблений додаток маскується під тим самим ім'ям, що й справжній додаток, лише з іншим розширенням (наприклад, SBV.apk), і зберігається в хмарі Amazon S3, що дозволяє хакерам легко оновлювати, змінювати та приховувати шкідливий контент. Після встановлення підроблений додаток просить користувача надати глибокий доступ до системи, включаючи дозволи на доступність та накладання.
Поєднуючи ці два права, хакери можуть відстежувати дії користувачів, читати вміст SMS-повідомлень, отримувати OTP-коди, отримувати доступ до контактів і навіть діяти від імені користувачів, не залишаючи жодних очевидних слідів.
Декомпілюючи вихідний код RedHook, експерти з Центру аналізу шкідливих програм Bkav виявили, що цей вірус інтегрує до 34 команд дистанційного керування, включаючи створення скріншотів, надсилання та отримання повідомлень, встановлення або видалення програм, блокування та розблокування пристроїв, а також виконання системних команд. Вони використовують API MediaProjection для запису всього контенту, що відображається на екрані пристрою, та подальшої передачі його на сервер керування.
RedHook має механізм автентифікації JSON Web Token (JWT), який допомагає зловмисникам підтримувати контроль над пристроєм протягом тривалого часу, навіть після перезавантаження пристрою.
Під час аналізу Bkav виявив багато сегментів коду та рядків інтерфейсу, що використовують китайську мову, а також багато інших чітких слідів походження розробки хакерської групи, а також кампанії розповсюдження RedHook, пов'язаної з шахрайською діяльністю, що мала місце у В'єтнамі.
Наприклад, використання доменного імені mailisa[.]me, популярного сервісу краси, який використовувався в минулому, для поширення шкідливого програмного забезпечення свідчить про те, що RedHook діє не самостійно, а є продуктом серії організованих атакуючих кампаній, складних як з технічної, так і з тактичної точки зору. Домени керуючих серверів, що використовуються в цій кампанії, включають api9.iosgaxx423.xyz та skt9.iosgaxx423.xyz, обидва з яких є анонімними адресами, розташованими за кордоном, і їх нелегко відстежити.
Bkav рекомендує користувачам категорично не встановлювати програми поза Google Play, особливо APK-файли, отримані через текстові повідомлення, електронні листи чи соціальні мережі. Не надавайте права доступу програмам невідомого походження. Організаціям необхідно впровадити заходи моніторингу доступу, DNS-фільтрацію та налаштувати попередження для підключень до незвичайних доменів, пов’язаних з інфраструктурою контролю шкідливого програмного забезпечення. Якщо ви підозрюєте зараження, негайно відключіться від Інтернету, створіть резервну копію важливих даних, відновіть заводські налаштування (скидання до заводських налаштувань), змініть усі паролі облікових записів та зверніться до банку, щоб перевірити стан рахунку.
Джерело: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[Фото] Прем'єр-міністр Фам Мінь Чінь головує на другому засіданні Керівного комітету з розвитку приватної економіки.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Коментар (0)