Android-Telefone in Vietnam sind Ziel von Angriffen

Daten auf dem Telefon des Opfers werden mit gzip komprimiert und an den C&C-Server gesendet.

Hacker erstellen gefälschte Websites staatlicher Behörden oder seriöser Finanzinstitute, beispielsweise der State Bank of Vietnam (SBV), Sacombank (Sacombank Pay), Central Power Corporation (EVNCPC), Automobile Inspection Appointment System (TTDK) … Sie installieren Schadsoftware unter dem Deckmantel von Anwendungen und verleiten die Benutzer dann dazu, diese auf ihre Telefone herunterzuladen. Dabei nutzen sie viele verschiedene Szenarien, beispielsweise das Senden von E-Mails, das Versenden von Textnachrichten über Chat-Anwendungen oder das Schalten von Anzeigen in Suchmaschinen …

Die gefälschte App trägt den gleichen Namen wie die echte App, nur mit einer anderen Erweiterung (z. B. SBV.apk) und wird in der Amazon S3-Cloud gespeichert. So können Hacker schädliche Inhalte leicht aktualisieren, ändern und verbergen. Nach der Installation fordert die gefälschte App den Benutzer auf, umfassenden Zugriff auf das System zu gewähren, einschließlich der Berechtigungen für Barrierefreiheit und Overlay.

Durch die Kombination dieser beiden Rechte können Hacker Benutzervorgänge überwachen, den Inhalt von SMS-Nachrichten lesen, OTP-Codes abrufen, auf Kontakte zugreifen und sogar im Namen von Benutzern agieren, ohne offensichtliche Spuren zu hinterlassen.

Durch die Dekompilierung des RedHook-Quellcodes entdeckten Experten des Malware Analysis Center von Bkav, dass dieser Virus bis zu 34 Fernsteuerungsbefehle integriert, darunter das Erstellen von Screenshots, das Senden und Empfangen von Nachrichten, das Installieren und Deinstallieren von Anwendungen, das Sperren und Entsperren von Geräten sowie das Ausführen von Systembefehlen. Sie verwenden die MediaProjection-API, um alle auf dem Gerätebildschirm angezeigten Inhalte aufzuzeichnen und anschließend an den Steuerungsserver zu übertragen.

RedHook verfügt über einen JSON Web Token (JWT)-Authentifizierungsmechanismus, der Angreifern hilft, die Kontrolle über das Gerät für lange Zeit zu behalten, selbst wenn das Gerät neu gestartet wird.

Während des Analyseprozesses entdeckte Bkav zahlreiche Codesegmente und Schnittstellenzeichenfolgen in chinesischer Sprache sowie zahlreiche andere klare Spuren des Entwicklungsursprungs der Hackergruppe und der RedHook-Verteilungskampagne im Zusammenhang mit betrügerischen Aktivitäten, die in Vietnam aufgetreten sind.

Beispielsweise zeigt die Verwendung des Domänennamens mailisa[.]me, eines beliebten Beauty-Dienstes, der in der Vergangenheit bereits missbraucht wurde, zur Verbreitung von Schadsoftware, dass RedHook nicht allein agiert, sondern das Produkt einer Reihe organisierter Angriffskampagnen ist, die sowohl technisch als auch taktisch ausgefeilt sind. Zu den in dieser Kampagne verwendeten Kontrollserverdomänen gehören api9.iosgaxx423.xyz und skt9.iosgaxx423.xyz. Beides sind anonyme Adressen im Ausland, die nicht leicht zurückverfolgt werden können.

Bkav empfiehlt Nutzern, auf keinen Fall Anwendungen außerhalb von Google Play zu installieren, insbesondere keine APK-Dateien, die per SMS, E-Mail oder über soziale Netzwerke empfangen wurden. Gewähren Sie keine Zugriffsrechte für Anwendungen unbekannter Herkunft. Unternehmen sollten Zugriffsüberwachungsmaßnahmen und DNS-Filter einsetzen und Warnmeldungen für Verbindungen zu ungewöhnlichen Domänen einrichten, die mit der Steuerungsinfrastruktur der Malware in Zusammenhang stehen. Bei Verdacht auf eine Infektion trennen Sie sofort die Internetverbindung, sichern Sie wichtige Daten, stellen Sie die Werkseinstellungen wieder her (Factory Reset), ändern Sie alle Kontokennwörter und wenden Sie sich an Ihre Bank, um den Kontostatus zu überprüfen.

BA TAN

Quelle: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html