Cyble Research and Intelligence Labs (CRIL) siber güvenlik araştırmacıları, Vietnamlı mobil kullanıcıları aktif olarak hedefleyen Redhook adlı yeni bir Android bankacılığı Truva atı ortaya çıkardılar. Kötü amaçlı yazılım, güvenilir finansal ve devlet kurumlarını taklit eden özenle hazırlanmış kimlik avı siteleri aracılığıyla dağıtılır.
Kurulduktan sonra RedHook, enfekte olmuş cihazlar üzerinde tam kontrol sağlayan, kimlik avı, keyloglama ve uzaktan erişim özelliklerinin tehlikeli bir kombinasyonunu sunar, ancak sınırlı antivirüs tespiti ile düşük profilli kalır.
Redhook Android Bankacılık Truva Kampanyasını Kod Çözme
Cril ilk olarak Redhook’u SBVHN’de bir kimlik avı web sitesi aracılığıyla tespit etti[.]Com, Vietnam Devlet Bankası’nı taklit ediyor. Site, kullanıcıları açıkta kalan AWS S3 kovasından (hxxps: //nfe – bucketapk.s3.ap – southeast – 1.Amazonaws[.]com/sbv.apk). Kasım 2024’ten beri halka açık olan kova, ekran görüntüleri, kimlik avı şablonları ve kötü amaçlı yazılım sürümleri içeriyordu. Redhook’un en azından Kasım 2024’ten beri aktif olduğunu ve Ocak 2025’e kadar Wild’da örnekler ortaya çıktığını ortaya koydu.
RedHook’un altyapısı Mailisa gibi alanlar içerir[.]Ben, daha önce bir Vietnam kozmetik aldatmaca ile ilişkili. Bu değişim, oyuncunun sosyal mühendislik sahtekarlığından kimlik avı sahalarına gömülü bir Android bankacılık Truva atına kadar geliştiğini gösteriyor.
Enfeksiyon iş akışı ve yetenekleri
Kurulumdan sonra, kötü amaçlı yazılım kullanıcıyı Overlay Access ve Android erişilebilirlik hizmetleri için ister. Bu yükseltilmiş izinler, RedHook’un bir dizi müdahaleci eylem gerçekleştirmesini sağlar: bindirme kimlik avı sayfalarını başlatma, tüm tuş vuruşlarını yakalama (Keylogging), E, EKişileri ve SMS’yi xFiltrating ve uygulamaların yüklenmesi veya kaldırılması. Kötü amaçlı yazılım, ekranı yakalamak için Android’in MediaProjection API’sını kötüye kullanır ve WebSocket aracılığıyla görüntüleri saldırganın kontrol altyapısına aktarır.
RedHook, SKT9.IosGaxx423.xyz alt alanını kullanarak komutu – ve kontrol (C2) sunucusu ile kalıcı WebSocket iletişimini sürdürürken, başlangıç HTTP istekleri API9.IosGaxx423.xyz adresine gider. Kötü amaçlı yazılım, sunucudan 34 farklı uzaktan komutu destekler, operatörlerin cihaz bilgisi, SMS, ekran görüntüleri, komut gönderme, tetik kaplamaları ve daha fazlasını toplamasına izin veren numaralı eylemler.
Teknik derin dalış
Lansman üzerine kötü amaçlı yazılım, Vietnam Devlet Bankası’nı taklit eden sahte bir giriş sayfası sunar. Kimlik bilgileri girildikten sonra, Truva atı bunları/auth/v2/girişe gönderir. Yanıt olarak, sunucu bir JWT erişim belirteci ve istemci kimliği verir. Bu jetonları kullanarak RedHook, cihaz kimliği, marka, oryantasyon ve ekran kilit türü dahil/üye/info/addDevice’e göre cihaz özelliklerini rapor eder ve saldırganın uzlaşan her bir cihazı kaydetmesine ve izlemesine izin verir. Analiz sırasında, iade edilen kullanıcı kimliklerinin sayısı 500’den fazla enfeksiyonu göstererek 570’e yükseldi.
Redhook’un kimlik avı iş akışı aşamalarda ortaya çıkıyor:
- Mağdurlardan vatandaş kimliğini fotoğraflamaları ve yüklemeleri istenir. Ortaya çıkan görüntü/file/upload/adresine iletilir.
- Kullanıcılar daha sonra Vietnamlılar değil Endonezya’da ilginç bir şekilde görünen şablonlar aracılığıyla banka adı, hesap numarası, adı, adres, doğum tarihi ve diğer kişisel verileri sağlar.
- Son olarak, kurbandan 4 adet bir şifre ve 6 adet iki aşamalı doğrulama kodu girmesi istenir.
Girilen her tuş vuruşu günlüğe kaydedilir, uygulama paketi adı ve ön plan etkinliği ile etiketlenir ve C2 sunucusuna gönderilir.
Sıçan (uzaktan erişim Truva atı) özelliği SKT9 üzerinden WebSocket bağlantısı ile etkinleştirilir. Bu oturum sırasında, yakalanan ekran çerçeveleri (JPEG’ye dönüştürülmüş) canlı olarak yayınlanır. Maruz kalan S3 kovası, WebSocket oturumunu ve Çince dil arayüz öğelerini gösteren ekran görüntüleri içeriyordu, bu da Çince konuşan olası bir tehdit oyuncusu ima etti. Kötü amaçlı yazılım günlüklerinde Çince dil dizeleri de görülür.
AWS S3 kovası, Redhook’un Sacombank, Central Power Corporation, Trafik Polisi (CSGT) ve Gover dahil olmak üzere birkaç iyi bilinen Vietnam hedefini taklit eden kimlik avı şablonlarını maruz bıraktı.Nment portalları.
İkonlar ve marka, kurbanları kimlik avı sitelerine güvenmeye aldatmak için bu kurumları yakından yansıttı.
Atıf ve Göstergeler
Birkaç eser, Çince konuşan bir kökene kuvvetle önermektedir: Çince metin C2 arayüzünden yakalanan ekran görüntüleri boyunca mevcuttur ve dahili kod ve günlük dizeleri de Çince dili içerir. Ayrıca, evreleme alanı Mailisa[.]Me, bir kurbanın Mailisa Salon markalı kimlik avı içeriğine yönlendirildikten sonra 1 milyardan fazla VND kaybettiği bir durum da dahil olmak üzere önceki Vietnam dolandırıcılık kampanyalarına bağlantıları var.
Maruz kalan veri kovasından ekran görüntüleri “Mailisa Beauty Salon” a başvurdu ve önceki dolandırıcılığa benzeyen “DTMG Ticaret CO. Ltd D Mailisa” na 5.5 milyon VND ödemeleri gösterdi.
Bu unsurlar birlikte, temel dolandırıcılıklardan gelişen, sofistike bir Android bankacılık Truva atı olan Redhook’u kimlik avı siteleri aracılığıyla dağıtmaya kadar Çince dil geçmişinden faaliyet gösteren bir grubu gösteriyor.
Çözüm
Redhook, kimlik avı, uzaktan erişim ve gözetim, özellikle Vietnam’da hedef kullanıcılara birleştirerek, sahte siteler ve yandan yüklenmiş APS’lerden kaçınan Android kötü amaçlı yazılımlarda tehlikeli bir değişimi temsil ediyor. Gelişmiş özellikleri ve düşük virustotal görünürlüğü onu son derece gizli hale getirir.
RedHook gibi tehditlerle mücadele etmek için kullanıcılar, bilinmeyen kaynaklardan uygulamalar yüklemekten kaçınmalı, şüpheli izin taleplerine dikkat etmeli ve davranış tabanlı mobil güvenliği kullanmalıdır. Kurumlar, mobil saldırı altyapısını bozmak için proaktif olarak tehdit istihbaratını paylaşmalıdır.