-
09/04/2020
-
109
-
997 bài viết
RedHook: Mã độc nguy hiểm tấn công người Việt dưới vỏ bọc cơ quan nhà nước, ngân hàng
Một chiến dịch tấn công mạng đáng báo động mới xuất hiện tại Việt Nam, trong đó kẻ tấn công sử dụng mã độc RedHook để ngụy trang dưới lớp vỏ bọc của các cơ quan nhà nước và tổ chức tài chính lớn. Thông qua những website lừa đảo được thiết kế tinh vi, RedHook nhắm thẳng vào người dùng phổ thông để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và chiếm quyền kiểm soát thiết bị một cách toàn diện.
RedHook là mã độc Android được phát tán có chủ đích tại Việt Nam thông qua việc giả mạo cơ quan nhà nước, phân phối file APK qua SMS lừa đảo, mã QR, quảng cáo giả và lưu trữ trên AWS. Khi xâm nhập thiết bị, RedHook có thể kiểm soát hoàn toàn hệ thống, thu thập OTP, dữ liệu cá nhân, tài khoản ngân hàng và thực thi các lệnh điều khiển từ xa ở mức độ mà chuyên gia WhiteHat đánh giá là "đáng báo động".
Ảnh: Trang web lừa đảo phân phối tệp APK độc hại
Các website giả mạo được thiết kế tinh vi nhằm đánh lừa người dùng rằng họ đang tải về ứng dụng chính thống, trong khi thực chất là các tệp APK chứa mã độc RedHook được lưu trữ trên dịch vụ AWS S3 công khai và phân phối qua các tên miền giả mạo, cho phép kẻ tấn công dễ dàng thay đổi hạ tầng và điều chỉnh chiến dịch theo mục tiêu.
Chuyên gia WhiteHat đánh giá RedHook đặc biệt nguy hiểm vì có khả năng ẩn mình trước phần mềm diệt virus với tỉ lệ phát hiện rất thấp tính đến thời điểm hiện tại, khiến nhiều thiết bị bị lây nhiễm mà không hề hay biết. Mã độc này còn nhắm vào người dùng tại Đông Nam Á, khu vực có mức độ phụ thuộc cao vào thiết bị di động trong giao dịch tài chính, làm gia tăng rủi ro mất dữ liệu và tài sản. Ngoài ra, chiến dịch phát tán RedHook còn tái sử dụng các mẫu giả mạo bằng nhiều ngôn ngữ khác nhau, cho thấy khả năng mở rộng sang các khu vực khác trên toàn cầu trong tương lai.
Ảnh: Chỉ số phát hiện trên Virus Total cực thấp
Bucket S3 này, hoạt động từ ít nhất tháng 11/2024, chứa một lượng lớn dữ liệu vận hành như mẫu giao diện ngân hàng giả mạo, ảnh chụp các giai đoạn lừa đảo và tài liệu liên quan đến các chiến dịch nhắm vào người dùng tại Việt Nam.
Đáng chú ý, một mối liên hệ được xác lập với tên miền mailisa[.]me, từng liên quan đến các vụ lừa đảo mỹ phẩm quy mô lớn tại Việt Nam. Điều này cho thấy kẻ tấn công đã chuyển từ các hình thức lừa đảo đơn giản sang sử dụng phần mềm độc hại tinh vi để mở rộng quy mô và mức độ gây hại.
Ảnh: Mã độc nhận tên miền mailisa.me từ máy chủ
Sự cảnh giác không còn là lựa chọn mà là yêu cầu bắt buộc trong thời đại số.
RedHook là mã độc Android được phát tán có chủ đích tại Việt Nam thông qua việc giả mạo cơ quan nhà nước, phân phối file APK qua SMS lừa đảo, mã QR, quảng cáo giả và lưu trữ trên AWS. Khi xâm nhập thiết bị, RedHook có thể kiểm soát hoàn toàn hệ thống, thu thập OTP, dữ liệu cá nhân, tài khoản ngân hàng và thực thi các lệnh điều khiển từ xa ở mức độ mà chuyên gia WhiteHat đánh giá là "đáng báo động".
Ảnh: Trang web lừa đảo phân phối tệp APK độc hại
Các website giả mạo được thiết kế tinh vi nhằm đánh lừa người dùng rằng họ đang tải về ứng dụng chính thống, trong khi thực chất là các tệp APK chứa mã độc RedHook được lưu trữ trên dịch vụ AWS S3 công khai và phân phối qua các tên miền giả mạo, cho phép kẻ tấn công dễ dàng thay đổi hạ tầng và điều chỉnh chiến dịch theo mục tiêu.
Chuyên gia WhiteHat đánh giá RedHook đặc biệt nguy hiểm vì có khả năng ẩn mình trước phần mềm diệt virus với tỉ lệ phát hiện rất thấp tính đến thời điểm hiện tại, khiến nhiều thiết bị bị lây nhiễm mà không hề hay biết. Mã độc này còn nhắm vào người dùng tại Đông Nam Á, khu vực có mức độ phụ thuộc cao vào thiết bị di động trong giao dịch tài chính, làm gia tăng rủi ro mất dữ liệu và tài sản. Ngoài ra, chiến dịch phát tán RedHook còn tái sử dụng các mẫu giả mạo bằng nhiều ngôn ngữ khác nhau, cho thấy khả năng mở rộng sang các khu vực khác trên toàn cầu trong tương lai.
Ảnh: Chỉ số phát hiện trên Virus Total cực thấp
RedHook hoạt động như thế nào?
Các nhà nghiên cứu an ninh mạng đã phát hiện nhiều dấu vết cho thấy chiến dịch tấn công có liên quan đến các nhóm nói tiếng Trung Quốc. Cụ thể, mã nguồn ứng dụng độc hại và bằng chứng từ một bucket S3 công khai cho thấy đây là hành vi của một cá nhân hoặc nhóm tấn công nói tiếng Trung. Nhiều chuỗi văn bản tiếng Trung xuất hiện trong log và ảnh chụp giao diện WebSocket, cung cấp manh mối về nguồn gốc của mã độc.Bucket S3 này, hoạt động từ ít nhất tháng 11/2024, chứa một lượng lớn dữ liệu vận hành như mẫu giao diện ngân hàng giả mạo, ảnh chụp các giai đoạn lừa đảo và tài liệu liên quan đến các chiến dịch nhắm vào người dùng tại Việt Nam.
Đáng chú ý, một mối liên hệ được xác lập với tên miền mailisa[.]me, từng liên quan đến các vụ lừa đảo mỹ phẩm quy mô lớn tại Việt Nam. Điều này cho thấy kẻ tấn công đã chuyển từ các hình thức lừa đảo đơn giản sang sử dụng phần mềm độc hại tinh vi để mở rộng quy mô và mức độ gây hại.
Ảnh: Mã độc nhận tên miền mailisa.me từ máy chủ
1. Lừa người dùng ngay từ bước đầu tiên
Ngay sau khi được cài đặt, RedHook giả mạo giao diện đăng nhập của các ngân hàng quen thuộc để lừa người dùng nhập thông tin tài khoản. Đồng thời, nó dụ người dùng cấp các quyền truy cập cao, bao gồm:- Accessibility Services: mở cài đặt dịch vụ hỗ trợ người dùng.
- Overlay Permission: quyền hiển thị đè lên các ứng dụng khác.
2. Ghi lại thao tác và điều khiển thiết bị từ xa
RedHook sử dụng MediaProjection API - một công cụ hợp pháp của Android để quay lại màn hình và truyền dữ liệu theo thời gian thực về máy chủ điều khiển (C2) thông qua WebSocket, một kênh liên lạc hai chiều mạnh mẽ nhưng hiếm gặp ở các mã độc thông thường. Nhờ đó, kẻ tấn công có thể theo dõi và thao tác trực tiếp trên thiết bị của nạn nhân như đang cầm máy trên tay.3. Hơn 30 lệnh điều khiển từ xa cực kỳ nguy hiểm
Phân tích kỹ thuật cho thấy RedHook có thể thực thi tới 34 lệnh điều khiển khác nhau, trong đó có những lệnh đặc biệt nguy hiểm như:- Download and install an APK file: Cho phép hacker cài đặt thêm phần mềm độc hại, backdoor, hoặc công cụ gián điệp khác mà không cần sự đồng ý của người dùng.
- Opens accessibility service: Quyền này cho phép malware điều khiển toàn bộ thiết bị, tự động nhấn nút, đọc nội dung màn hình, và bỏ qua cảnh báo bảo mật. Đây là quyền cốt lõi bị lạm dụng nhiều nhất trong các trojan ngân hàng.
- Starts screen capturing: Cho phép hacker xem toàn bộ hoạt động của người dùng trên điện thoại (nhập mật khẩu, OTP, thông tin tài khoản, tin nhắn...).
- Collects SMS list: Có thể đánh cắp mã OTP, xác thực ngân hàng, hoặc đọc thông báo quan trọng như tin nhắn giao dịch.
Các chuyên gia WhiteHat khuyến cáo
1. Người dùng cá nhân:
- Tuyệt đối không cài đặt ứng dụng ngoài Google Play hoặc các nguồn uy tín; đây là phương thức phổ biến để phát tán mã độc như RedHook.
- Không cài đặt file APK từ nguồn không rõ ràng, đặc biệt khi nhận được qua SMS, mã QR, Zalo, Facebook hoặc các trang web không chính thống.
- Cảnh giác với các trang web giả mạo có giao diện giống ngân hàng nhưng yêu cầu tải ứng dụng APK.
- Thận trọng khi ứng dụng yêu cầu quyền hệ thống bất thường như: Accessibility, Overlay hoặc ghi màn hình.
- Luôn cập nhật hệ điều hành và phần mềm bảo mật, kể cả trên các thiết bị đời cũ, để vá các lỗ hổng có thể bị khai thác.
2. Chính phủ và các tổ chức/doanh nghiệp
- Tăng cường giám sát và phát hiện mã độc trên thiết bị người dùng, đặc biệt các hành vi bất thường liên quan đến quyền hệ thống.
- Chủ động cảnh báo người dùng về hình thức tấn công mới như RedHook thông qua email, SMS và ứng dụng chính thức.
- Chia sẻ thông tin tình báo mối đe dọa (threat intelligence) để nhanh chóng phát hiện, cảnh báo và ngăn chặn sự lây lan.
- Phối hợp với các nhà cung cấp dịch vụ như AWS để gỡ bỏ các bucket hoặc tên miền dùng phát tán mã độc.
- Ban hành cảnh báo khẩn nội bộ và rà soát hệ thống tên miền giả mạo, đồng thời cập nhật các chỉ số nhận diện tấn công (IOC) nhằm theo dõi và xử lý kịp thời.
Sự cảnh giác không còn là lựa chọn mà là yêu cầu bắt buộc trong thời đại số.
WhiteHat
Chỉnh sửa lần cuối: