Cyble Araştırma ve İstihbarat Laboratuarları (CRIL), Vietnam hükümetinden ve finansal kurumlardan kullanıcıları aldatmaya yönelik meşru uygulamalar olarak gizleyen Redhook olarak adlandırılan sofistike bir Android bankacılık Truva atı ortaya çıkardı.
İlk olarak Ocak 2025 civarında vahşi doğada gözlemlenen bu kötü amaçlı yazılım, Vietnam Devlet Bankası, Sacombank, Central Power Corporation, Vietnam Trafik Polisi ve hatta Vietnam Hükümeti gibi varlıkları taklit eden kimlik avı web sitelerini kullanıyor.
SBVHN gibi aldatıcı alanlar aracılığıyla dağıtılır[.]com ve AWS S3 kovalarında barındırılan RedHook, kullanıcıları resmi bankacılık uygulamaları olarak görünen kötü niyetli APS’yi indirmeye hile yapar.
Redhook Trojan Keşfi
Kurulduktan sonra, kurbanları erişilebilirlik hizmetlerini ve bindirme izinlerini sağlayarak cihaz üzerinde kapsamlı bir kontrol vermesini ister.
Bu izin kombinasyonu, Truva atının kullanıcı etkinliklerini sessizce izlemesine, sahte arayüzleri kaplamasına ve güvenlik protokollerini atlamasına izin vererek, onu kimlik bilgisi hırsızlığı ve finansal sahtekarlık için güçlü bir araç haline getirir.
RedHook’un yetenekleri, Android’in MediaProjection API’sinden uzaktan erişim Truva (sıçan) işlevlerini, keylogunu ve ekran yakalamasını içeren temel kimlik avlanmasının ötesine uzanır.
API9 gibi komut ve kontrol (C2) sunucularına kalıcı bir WebSocket bağlantısı oluşturur[.]iOSGAXX423.XYZ ve SKT9[.]iOSGAXX423.xyz, gerçek zamanlı iletişim ve 30’dan fazla komutun yürütülmesini sağlayan.
Bu komutlar, cihaz bilgileri, SMS mesajları ve kişiler toplamaktan kaydırma, tıklamalar ve metin girişi gibi hareketlere, uygulamaları yükleme veya kaldırma, ekran görüntüleri yakalama ve hatta cihazı yeniden başlatmaya kadar değişir.
Kötü amaçlı yazılımların kimlik avı iş akışı titizlikle tasarlanmıştır: Vatandaş kimlik fotoğraflarının yüklenmesini gerektiren sahte kimlik doğrulama istemleri ile başlar, ardından bankacılık detayları, şifreler ve iki aşamalı doğrulama kodları için talepler gelir.
Uygulama paketi adları ve aktif sınıf detayları ile etiketlenen keyloglar C2’ye eklenirken, JPEG görüntüleri aracılığıyla sürekli ekran akışı, tehdit aktörlerinin cihazla uzaktan etkileşime girmesine izin verir.
Kasım 2024’ten bu yana açık bir AWS S3 kovasından aktif olan kütüklerde Çince diller ve açık ekran görüntüleri de dahil olmak üzere kod eserleri, Redhook’un arkasındaki Çince konuşan bir geliştiriciye veya gruba işaret ediyor.
Bu kova, sahte şablonlar, kimlik avı arayüzleri ve Alan Alanı aracılığıyla önceki dolandırıcılıklara bağlanan kanıtlar gibi operasyonel verileri ortaya çıkardı.[.]Ben, sosyal mühendislik sahtekarından gelişmiş kötü amaçlı yazılım odaklı saldırılara evrimi gösteriyor.
Daha geniş sonuçlar
Gelişmiş özelliklerine rağmen, Redhook, Virustotal gibi platformlarda düşük algılama oranlarını korur, gizli doğasının altını çizer ve mobil tehdit manzaralarındaki zorlukların altını çizer. Analiz, 500’den fazla cihazı enfekte ettiğini ve kullanıcı kimliklerinin uzlaşma üzerine sırayla arttığını gösteriyor.
Truva atı, güvenilir uygulamalar olarak maskelenmek ve kullanıcı etkileşimlerine taklit etmek, kimlik avı (T1660), girdi enjeksiyonu (T1516) ve ekran yakalama (T1513) gibi aTT & CK teknikleri ile hizalama gibi, savunma kaçakçılığı için meşru API’leri kötüye kullanır.
HTTP tabanlı C2 kanalları (T1437.001) aracılığıyla pessasyon yapan SMS (T1636.004) ve kontaklar (T1636.003) dahil olmak üzere korumalı verileri toplar. Bu, hileli işlemler için hassas bilgilerin sistematik olarak hasat edilmesini sağlar, genellikle mağdur farkındalığı olmadan.
Redhook’un ortaya çıkışı, Android bankacılık Truva atlarının Vietnam, Phishing, Sıçan ve Keylogging gibi yüksek riskli bölgelerde artan sofistike olduğunu vurgulamaktadır.
Siber güvenlik uzmanları, yalnızca resmi kaynaklardan uygulamaları indirmenizi, izin taleplerini incelemeyi, iki faktörlü kimlik doğrulamasını etkinleştirmeyi ve gerçek zamanlı tarama ile mobil güvenlik çözümlerini kullanmanızı önerir.
Güvenlik yamalarıyla güncel tutmak, güvenlik açıklarını azaltmak için çok önemlidir. Karanlık web faaliyetlerinin izlenmesi de dahil olmak üzere proaktif tehdit zekası, erken tespit ve bu tür gelişen siber tehditlere yanıt için gereklidir.
Uzlaşma Göstergeleri (IOCS)
| Göstergeler | Gösterge Türü | Tanım |
|---|---|---|
| 0ACE439000C8C950330DD1694858F50B2800BECC7154E137314CCBC5B1305F07 | SHA256 | Redhook |
| EBC4BED126C380CB37E7936B9557E96D41A389616855BB95C9107AB075DAA3 | SHA256 | Redhook |
| F33EBE44521BB954EC6B1C18EFC567FE940AE8B7B495A30285ECEFCIA535B | SHA256 | Redhook |
| adsocke[.]e13falsz.xyz | Url | C&C Sunucusu |
| API9[.]iOSGAXX423.XYZ | Url | C&C Sunucusu |
| SKT9[.]iOSGAXX423.XYZ | İhtisas | WebSocket URL’leri |
| API5[.]jftxm.xyz | İhtisas | WebSocket URL’leri |
| dzcdo3hl3vrfl.cloudfront[.]Net/chinhphu.apk | Url | Kırmızı kanca |
| nfe-buckapk[.]S3.AP-Southeast –1.AMAZONAWS.COM/SBV.APK | Url | Dağıtım URL’si |
| sbvhn[.]com/ | Url | Kimlik avı URL’si |
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!