ハッカーは、ベトナム国家銀行(SBV)、 サコム銀行(Sacombank Pay)、中央電力公社(EVNCPC)、自動車検査予約システム(TTDK)などの政府機関や評判の良い金融機関の偽のウェブサイトを作成し、アプリケーションを装ってマルウェアをインストールし、電子メールの送信、チャットアプリケーション経由のテキストメッセージ、検索エンジンでの広告の実行など、さまざまなシナリオを使用してユーザーを騙してそれらを携帯電話にダウンロードさせます。
偽アプリは、本物のアプリと同じ名前で、拡張子が異なる(例:SBV.apk)だけで偽装され、Amazon S3クラウドに保存されます。そのため、ハッカーは悪意のあるコンテンツを簡単に更新、変更、隠蔽することができます。インストールされると、偽アプリはユーザーに、アクセシビリティやオーバーレイの権限を含む、システムへの高度なアクセス権限の付与を求めます。
これら 2 つの権限を組み合わせることで、ハッカーはユーザーの操作を監視したり、SMS メッセージの内容を読んだり、OTP コードを取得したり、連絡先にアクセスしたり、さらには明らかな兆候を残さずにユーザーに代わって操作したりすることができます。
Bkavマルウェア分析センターの専門家は、RedHookのソースコードを逆コンパイルした結果、このウイルスがスクリーンショットの撮影、メッセージの送受信、アプリケーションのインストールとアンインストール、デバイスのロックとロック解除、システムコマンドの実行など、最大34個のリモート制御コマンドを統合していることを発見しました。これらのコマンドは、MediaProjection APIを使用して、デバイス画面に表示されるすべてのコンテンツを記録し、制御サーバーに転送します。
RedHook には JSON Web Token (JWT) 認証メカニズムがあり、これにより、デバイスが再起動された場合でも、攻撃者は長期間にわたってデバイスの制御を維持できます。
分析中に、Bkav は、中国語を使用した多数のコード セグメントとインターフェイス文字列、およびハッカー グループの開発元の他の多くの明確な痕跡と、ベトナムで発生した詐欺行為に関連する RedHook 配布キャンペーンを発見しました。
例えば、過去にも悪用された人気美容サービスであるドメイン名「mailisa[.]me」がマルウェア拡散に利用されていることは、RedHookが単独で活動しているのではなく、技術的にも戦術的にも洗練された一連の組織的攻撃の産物であることを示しています。このキャンペーンで使用されている制御サーバーのドメインには、api9.iosgaxx423.xyzとskt9.iosgaxx423.xyzが含まれており、どちらも海外に所在する匿名アドレスであり、簡単に追跡することはできません。
Bkavは、Google Play以外から入手したアプリケーション、特にテキストメッセージ、メール、ソーシャルネットワーク経由で受信したAPKファイルを絶対にインストールしないことを推奨しています。出所不明のアプリケーションにはアクセス権を付与しないでください。組織は、アクセス監視対策、DNSフィルタリングを導入し、マルウェアの制御インフラに関連する通常とは異なるドメインへの接続に対して警告を設定する必要があります。感染が疑われる場合は、直ちにインターネット接続を切断し、重要なデータをバックアップし、工場出荷時設定にリセットし、すべてのアカウントパスワードを変更し、銀行に連絡してアカウントの状況を確認してください。
出典: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html
![[写真]「ベトナムと共に前進」プログラム開始式典での赤と黄色の星](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/16/076df6ed0eb345cfa3d1cd1d7591a66f)
コメント (0)