[BÁO CÁO] CẢNH BÁO VỀ MÃ ĐỘC ANDROID TROJAN BANKING MỚI REDHOOK

Chào mọi người.

Mấy ngày nay, trên mạng truyền thông đang phát tán một tín hiếu về mã độc chiếm quyền kiểm soát thiết bị Android khi mọi người cài đặt file *.apk từ bên ngoài mà không phải trên CH Play.

Theo như mô tả: Viettel Threat Intelligence cảnh báo về mã độc Android trojan banking mới RedHook.

 
Mã độc sử dụng các trang web lừa đảo mạo danh các tổ chức tại Việt Nam để phát tán mã độc nhằm lấy cắp thông tin đăng nhập và thực hiện các hành vi gian lận tài chính. Quản trị viên cần nắm bắt thông tin và kịp thời đưa ra phương án để ngăn ngừa nguy cơ.

Mô tả chi tiết:

Dựa trên các tiêu chí:

• Chiến dịch tấn công lừa đảo trên diện rộng nhắm vào người dùng tại Việt Nam.
• Mã độc phát tán giả mạo các ứng dụng thuộc lĩnh vực tài chính - ngân hàng, năng lượng và dịch vụ công tại Việt Nam.
• Viettel Threat Intelligence nhận định đây là nguy cơ mức độ Cao.

Nội dung

Kịch bản tấn công như sau:

• Người dùng truy cập vào trang web phishing giả mạo và tải xuống ứng dụng APK độc hại.
• RedHook tải một trang web phishing, yêu cầu người dùng nhập thông tin đăng nhập ngân hàng và các thông tin nhạy cảm khác.
• Người dùng nhập thông tin cá nhân bao gồm: thông tin ngân hàng, mật khẩu và mã xác thực hai bước. RedHook gửi thông tin này đến máy chủ điều khiển của tin tặc, cho phép chúng truy cập vào tài khoản ngân hàng của nạn nhân và thực hiệncác hành vi gian lận tài chính.
• Mã độc tiếp tục hoạt động âm thầm trên thiết bị, ghi lại các lần nhấn phím và tạo ảnh chụp màn hình, gửi thông tin này về máy chủ điều khiển thông qua kết nối WebSocket.
• Dấu hiệu nhận biết/ Hạ tầng mã độc.

MD5

• 387EC247610589A40FA2214D8AB8FD1E

• 7D3194790E30F8CA6F0B8C4C0CB26B5F

• 375C7D7B66A2B059FAD34ECBA1C3AC95

• 411F72E871F9D60180E1FF5350F0FFE1

• C1DC728B62D233D9084AB83FDE82DABA

• 71A871ABFAD78CAE040085E5907E39AA

• C30D03E3C2C4BE364E2E8F4877B915A3

• 39B07D4D897234D61E473FEF04C8CD7E

• A7C5579366197078E1FE6B476E144597

SHA1

• C649C23176986FB9387815BFC284C4E6D4BC9B49

• FBAB438686C1E655D282079C09D6DE3A7A8C6DD2

• 23E1A3E79A0BC78437E30A75C0D1D75C745F493E

• 657DA9CDDB34A1B8EFA87B895581FEBD7AB8584C

• 2CF476CAB3751F4F0957547004D8333464A9D5AA

• 03740147B11BDC21FA716F9DF05FCC6362D4A09E

• 25AFAFE282543DC1A7166C1FD386A28DF060FE88

• 2017E0CD997C7D266B95F7C94AF82A177EA1DCEA

• 34FE4A360025ED15A303EA84196CF49835FED146

SHA256

• 0ACE439000C8C950330DD1694858F50B2800BECC7154E137314CCBC5B1305F07

• EBC4BED126C380CB37E7936B9557E96D41A38989616855BB95C9107AB075DAA3

• F33EBE44521ABB954EC6B1C18EFC567FE940AE8B7B495A302885ECEFCEBA535B

• 41D09FB33D7696833C11C739A3B0929CD0BFF70C29C1A8D00A9C2041C8D0B863

• 5427CE8B04FC8A09391C2F6EEED44230D256640E1E74F20A1C1F2FCDABEA32DF

• AC8B2617D487E0D7719D506333C3AD4AFBD014AEDF75D684F072AE6F3C544DBC

• ECC1CCC0F2E1B925834A63F0DC1F514C83329427F308575F417CC4799539398C

• 8F4D41B11338583959D3D297CDB0C01214F84DFDDC5DCDF25F8463F9C2D442D9

• 8AFBBC53E0B69E22AB444BA69718D543469EFB4AF2C65BCD27A47F12211A0A67

Domain

• adsocket[.]e13falsz[.]xyz

• api9[.]iosgaxx423[.]xyz

• skt9[.]iosgaxx423[.]xyz

• api5[.]jftxm[.]xyz

• sbvhn[.]com

• https://dzcdo3hl3vrfl[.]cloudfront[.]net/Chinhphu[.]apk

• https://nfe-bucketapk[.]s3[.]ap-southeast-1[.]amazonaws[.]com/SBV[.]apk

Cách phản ứng/ Xử lý mã độc

• Chặn trên các giải pháp Firewall, IDS, Web Gateways, Router… kết nối tới tất cả URL và IP theo IOC của mã độc.

• Cập nhật, cài đặt đầy đủ bản thông tin mới nhất về chiến dịch này cho giải pháp về ATTT (VD: Anti-virus, EDR…).

• Dựa vào dấu hiệu nhận biết mã độc để loang và tìm kiếm những máy bị nhiễm trên SIEM.
• Chỉ tải ứng dụng từ nguồn tin cậy trên Google Play Store, tuyệt đối không tải/gửi link APK qua SMS, mạng xã hội, email hoặc các website lạ.

• Không tự ý cấp quyền "Accessibility Service", "Overlay" hoặc các quyền nhạy cảm khác cho ứng dụng trừ khi chắc chắn về nguồn gốc và độ tin cậy.

Mọi người lưu ý và đảm bảo an toàn thông tin cá nhân của bản thân mình nhé.