RedHook: новый банковский троян для Android с продвинутым фишингом
Источник: cyble.com
RedHook: новый банковский троян для Android, нацеленный на пользователей Вьетнама
Недавнее исследование, проведенное специалистами Cyble Research and Intelligence Labs (CRIL), выявило появление сложного вредоносного ПО — банковского трояна RedHook, который нацелен на пользователей Android вьетнамского региона. Этот троян использует продвинутые методы социальной инженерии и технические приемы для кражи конфиденциальных данных, что делает его одной из наиболее опасных киберугроз на сегодняшний день.
Маскировка и методы проникновения
RedHook распространяется через фишинговые атаки, маскируясь под легитимные приложения известных финансовых и государственных организаций. Зловред взаимодействует с жертвами через мошеннический веб-сайт, позиционирующий себя как Государственный банк Вьетнама, что повышает уровень доверия у потенциальных жертв.
После инфицирования устройство жертвы получает удалённый доступ посредством сервера управления (C2), с которым вредонос общается через протокол WebSocket. Более того, троян запрашивает у пользователя включение специальных разрешений, в том числе прав на наложение поверх других приложений и доступа к функциям Android MediaProjection API, что позволяет захватывать содержимое экрана без ведома пользователя.
Функциональные возможности и скрытность
Троян обладает широким набором команд — всего 34, которые обеспечивают комплексное управление зараженным устройством в режиме реального времени. Среди ключевых функций:
- Сбор SMS-сообщений;
- Автоматизация заданий и операций на устройстве;
- Захват скриншотов экрана;
- Регистрация нажатий клавиш (кейлоггинг) с привязкой к контексту активного приложения;
- Отправка собранных данных на сервер C2.
Важно отметить, что RedHook демонстрирует чрезвычайно низкий уровень обнаружения современными антивирусами, что позволяет ему долгое время оставаться незамеченным и поддерживать скрытное присутствие в инфраструктуре жертвы.
Социальная инженерия и сбор данных
Одним из основных методов кражи информации у RedHook является тщательно спланированная фишинговая кампания. Троян предлагает пользователям загрузить изображения своих удостоверений личности, а затем запросить банковские реквизиты — номера счетов, пароли и другую важную информацию.
Примечательно, что интерфейс фишинговых форм переведен на индонезийский язык, что может указывать на попытки адаптировать атаку под другие региональные аудитории с помощью повторного использования шаблонов.
Инфраструктура и происхождение вредоносного ПО
Изучение открытых ресурсов AWS S3, используемых злоумышленниками, позволило исследователям получить подробную информацию о инфраструктуре RedHook. В публичной корзине были обнаружены:
- Скриншоты с заражённых устройств;
- Поддельные шаблоны для фишинга;
- Доказательства предыдущих мошеннических операций, направленных против граждан Вьетнама.
Анализ исходного кода трояна выявил строки на китайском языке, что указывает на возможное происхождение вредоносного ПО от китайскоязычного хакера или группировки.
Заключение: тенденции и рекомендации по защите
Разработка RedHook демонстрирует эволюцию традиционных социальных инженерных подходов к более изощренным и технологичным схемам кражи финансовых средств. Это служит тревожным сигналом для индустрии кибербезопасности, указывая на слияние фишинга с передовыми инвазивными методами эксплойта.
Для пользователей, особенно в регионах с повышенным уровнем угроз, таких как Вьетнам, критически важно применять комплексные стратегии защиты мобильных устройств и мобильного банкинга. Организациям и сообществам по кибербезопасности необходимо активизировать обмен разведывательной информацией для эффективного противодействия эскалации деятельности подобных хакеров.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
