베트남의 안드로이드 폰이 공격의 표적이 되고 있습니다.

해커는 베트남 국립은행(SBV), Sacombank (Sacombank Pay), 중앙전력공사(EVNCPC), 자동차 검사 예약 시스템(TTDK) 등 국가 기관이나 평판이 좋은 금융 기관의 가짜 웹사이트를 만들고, 애플리케이션으로 위장하여 맬웨어를 설치한 다음, 이메일을 보내거나, 채팅 애플리케이션을 통해 문자 메시지를 보내거나, 검색 엔진에 광고를 게재하는 등 다양한 시나리오를 이용해 사용자를 속여 휴대폰에 다운로드하게 합니다.

가짜 앱은 실제 앱과 동일한 이름으로 위장하지만 확장자만 다릅니다(예: SBV.apk). Amazon S3 클라우드에 저장되므로 해커가 악성 콘텐츠를 쉽게 업데이트, 변경 및 숨길 수 있습니다. 가짜 앱이 설치되면 사용자에게 접근성 및 오버레이 권한을 포함한 시스템 심층 접근 권한을 부여하도록 요청합니다.

해커는 이 두 가지 권한을 결합하여 사용자 작업을 모니터링하고, SMS 메시지 내용을 읽고, OTP 코드를 얻고, 연락처에 접근하고, 심지어 명확한 흔적을 남기지 않고 사용자를 대신하여 작업할 수도 있습니다.

Bkav 악성코드 분석 센터 전문가들은 RedHook의 소스 코드를 디컴파일하여 이 바이러스가 스크린샷 촬영, 메시지 송수신, 애플리케이션 설치/제거, 기기 잠금/잠금 해제, 시스템 명령 실행 등 최대 34개의 원격 제어 명령을 통합한다는 사실을 발견했습니다. MediaProjection API를 사용하여 기기 화면에 표시되는 모든 콘텐츠를 녹화한 후 제어 서버로 전송합니다.

RedHook에는 JSON 웹 토큰(JWT) 인증 메커니즘이 있어, 장치가 재부팅된 경우에도 공격자가 장기간 장치를 제어할 수 있습니다.

분석 과정에서 Bkav는 중국어를 사용한 많은 코드 세그먼트와 인터페이스 문자열을 발견했으며, 해커 그룹의 개발 기원을 보여주는 다른 많은 명확한 흔적과 베트남에서 나타난 사기 활동과 관련된 RedHook 배포 캠페인도 발견했습니다.

예를 들어, 과거에 악성코드 유포에 악용된 적이 있는 인기 뷰티 서비스인 mailisa[.]me 도메인 이름은 RedHook이 단독으로 활동하는 것이 아니라 기술적, 전술적 측면에서 정교한 일련의 조직적인 공격 캠페인의 산물임을 보여줍니다. 이 캠페인에 사용된 제어 서버 도메인에는 api9.iosgaxx423.xyz와 skt9.iosgaxx423.xyz가 있는데, 두 도메인 모두 해외에 위치한 익명 주소로 추적이 쉽지 않습니다.

출처: https://www.sggp.org.vn/dien-thoai-android-tai-viet-nam-dang-bi-tan-cong-co-chu-dich-post807230.html