Theo phân tích từ Trung tâm phân tích mã độc của Bkav, RedHook được tin tặc phát tán thông qua các website giả mạo cơ quan nhà nước và tổ chức tài chính lớn như: Ngân hàng Nhà nước Việt Nam (SBV), Sacombank (Sacombank Pay), Tổng công ty Điện lực miền Trung (EVNCPC), hệ thống đặt lịch đăng kiểm ô tô (TTDK)...

RedHook đánh cắp dữ liệu và chiếm quyền kiểm soát thiết bị. Ảnh minh hoạ

Dưới vỏ bọc là các ứng dụng quen thuộc (như SBV.apk), các tập tin chứa mã độc được lưu trữ trên nền tảng Amazon S3, giúp tin tặc dễ dàng cập nhật và che giấu nội dung độc hại. Sau khi được cài đặt, ứng dụng yêu cầu quyền truy cập sâu như quyền trợ năng (Accessibility) và hiển thị lớp phủ (Overlay). Kết hợp hai quyền này, RedHook có thể theo dõi thao tác người dùng, đọc tin nhắn SMS, lấy mã OTP, truy cập danh bạ và điều khiển thiết bị từ xa mà không để lại dấu hiệu bất thường.

Dữ liệu thu thập được từ điện thoại nạn nhân sẽ bị nén (dạng gzip) và chuyển về máy chủ C&C của tin tặc ở nước ngoài. RedHook sử dụng cơ chế xác thực JWT, giúp duy trì quyền kiểm soát thiết bị ngay cả khi khởi động lại.

Bkav xác nhận mã độc này tích hợp tới 34 lệnh điều khiển từ xa như: Chụp màn hình, gửi, nhận tin nhắn, cài hoặc gỡ ứng dụng, khóa, mở thiết bị, thực thi lệnh hệ thống… Trong quá trình phân tích mã độc, Bkav phát hiện nhiều đoạn mã và giao diện sử dụng tiếng Trung, cùng một số dấu hiệu cho thấy mối liên hệ với các chiến dịch lừa đảo từng xuất hiện tại Việt Nam.

Giao diện trang web giả mạo ngân hàng nhà nước. Ảnh chụp màn hình

Đáng chú ý, tin tặc sử dụng tên miền từng lợi dụng danh tiếng của các tổ chức có thật, như mailisa[.]me - tên miền của một trung tâm thẩm mỹ nổi tiếng, để phát tán mã độc. Các tên miền điều khiển như api9.iosgaxx423.xyz và skt9.iosgaxx423.xyz đều được đăng ký ẩn danh tại nước ngoài, rất khó truy vết.

Theo Bkav, đây không phải hoạt động đơn lẻ mà là một phần của chuỗi tấn công có tổ chức, được chuẩn bị kỹ lưỡng cả về kỹ thuật lẫn chiến thuật lừa đảo. Bởi hiện nay, smartphone lưu trữ rất nhiều dữ liệu tài chính và thông tin cá nhân nên thường xuyên trở thành mục tiêu tấn công của các nhóm hacker. RedHook là một ví dụ điển hình cho loại mã độc tinh vi, được thiết kế để kiểm soát thiết bị lâu dài và khai thác dữ liệu nhạy cảm.

Các chuyên gia an ninh mạng khuyến cáo người dùng không cài đặt ứng dụng ngoài Google Play, đặc biệt là các tệp APK nhận qua email, tin nhắn hoặc mạng xã hội; tuyệt đối không cấp quyền trợ năng hoặc lớp phủ cho ứng dụng không rõ nguồn gốc. Tổ chức, doanh nghiệp cần thiết lập giám sát truy cập, lọc DNS, cảnh báo các kết nối đến tên miền bất thường.

Nếu nghi ngờ thiết bị bị lây nhiễm, người dùng cần: Ngắt kết nối Internet ngay lập tức; sao lưu dữ liệu quan trọng rồi thực hiện khôi phục cài đặt gốc (Factory reset); thay đổi toàn bộ mật khẩu tài khoản; đồng thời liên hệ ngân hàng để kiểm tra tình trạng tài khoản.

Tác giả: Hải Yên

Nguồn tin: baotintuc.vn