- 19,425
- 40
- 8 Ноя 2022
RedHook обчистит вас до копейки, а антивирус даже не заикнётся об угрозе.
На фоне продолжающегося распространения вредоносных программ для Android устройств, специалисты из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войдиили Зарегистрируйся новую угрозу под названием RedHook. Этот банковский троян, впервые замеченный в январе 2025 года, действует особенно изощрённо: он маскируется под официальные приложения вьетнамских государственных структур и банков, включая Государственный банк Вьетнама, Sacombank, Центральную энергетическую корпорацию, Дорожную полицию и даже правительственные сервисы страны.
Для распространения трояна злоумышленники используют фишинговые сайты, оформленные под подлинные порталы госструктур, размещённые на доменах вроде «sbvhn[.]com» и загружаемые с помощью хостинга Amazon S3. Пользователи, полагая, что устанавливают надёжные APK-файлы от банков или государственных учреждений, на деле загружают вредоносное ПО.
После установки RedHook запрашивает разрешения на использование сервисов доступности и наложение интерфейсов поверх других приложений. Эти разрешения позволяют трояну бесшумно отслеживать активность владельца устройства, подменять интерфейсы и обходить системы защиты, включая механизмы единого входа (SSO). Такое сочетание функций делает его мощным инструментом для кражи учётных данных и проведения мошеннических транзакций.
В арсенале RedHook присутствуют элементы удалённого управления устройством (RAT), кейлоггер, а также возможность захвата экрана с использованием Android MediaProjection API. После установки троян инициирует постоянное соединение по WebSocket с управляющими серверами — среди них замечены адреса «api9[.]iosgaxx423[.]xyz» и «skt9[.]iosgaxx423[.]xyz».
Через эти соединения троян получает команды в реальном времени — их зафиксировано более тридцати. Они охватывают широкий диапазон: от сбора SMS, списка контактов и системной информации до эмуляции свайпов, кликов, ввода текста, установки и удаления приложений, захвата изображений с экрана и даже принудительной перезагрузки устройства.
Механизм фишинга реализован поэтапно: сначала пользователю предлагается пройти «верификацию» личности, загрузив фотографию удостоверения. Затем троян запрашивает банковские реквизиты, пароли и коды двухфакторной аутентификации. При этом RedHook ведёт запись всех нажатий клавиш, отмечая, в каком приложении и в каком активном окне они были введены, и регулярно передаёт эти данные на C2-сервер. Дополнительно он делает последовательные снимки экрана в формате JPEG, обеспечивая удалённому оператору возможность контролировать устройство в реальном времени.
Анализ содержимого открытого хранилища AWS S3, активного с ноября 2024 года, позволил выявить китаеязычные строки в логах, поддельные интерфейсы и шаблоны, а также скриншоты с эксплуатируемых устройств. Это даёт основания полагать, что за RedHook стоит китайская группировка, ранее использовавшая домен «mailisa[.]me» для менее технически сложных, но также направленных на обман схем социальной инженерии.
Несмотря на сложность и обширный функционал, RedHook остаётся практически незаметным для большинства антивирусов: его обнаружение в VirusTotal всё ещё крайне низкое. К моменту публикации отчёта Cyble было выявлено более 500 заражённых устройств, причём пользовательские ID в системе RedHook назначаются по возрастающей, что упрощает отслеживание новых жертв.
Троян активно применяет техники маскировки, описанные в базе MITRE ATT&CK, включая фишинг (T1660), внедрение команд ввода (T1516), захват экрана (T1513), сбор SMS (T1636.004), контактов (T1636.003) и эксфильтрацию данных через HTTP (T1437.001). Используя подмену доверенных интерфейсов и имитацию пользовательских действий, он успешно обходит даже многоуровневую защиту Android.
RedHook демонстрирует, насколько изощрёнными стали мобильные угрозы в регионах с активным банкингом через смартфоны. Специалисты по безопасности подчёркивают необходимость загружать приложения только из официальных магазинов, обращать внимание на запрашиваемые разрешения, активировать двухфакторную аутентификацию и использовать антивирусные решения с функциями анализа в реальном времени. Кроме того, своевременная установка обновлений безопасности и мониторинг даркнета критически важны для выявления и предотвращения подобных атак.
На фоне продолжающегося распространения вредоносных программ для Android устройств, специалисты из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войди
Для распространения трояна злоумышленники используют фишинговые сайты, оформленные под подлинные порталы госструктур, размещённые на доменах вроде «sbvhn[.]com» и загружаемые с помощью хостинга Amazon S3. Пользователи, полагая, что устанавливают надёжные APK-файлы от банков или государственных учреждений, на деле загружают вредоносное ПО.
После установки RedHook запрашивает разрешения на использование сервисов доступности и наложение интерфейсов поверх других приложений. Эти разрешения позволяют трояну бесшумно отслеживать активность владельца устройства, подменять интерфейсы и обходить системы защиты, включая механизмы единого входа (SSO). Такое сочетание функций делает его мощным инструментом для кражи учётных данных и проведения мошеннических транзакций.
В арсенале RedHook присутствуют элементы удалённого управления устройством (RAT), кейлоггер, а также возможность захвата экрана с использованием Android MediaProjection API. После установки троян инициирует постоянное соединение по WebSocket с управляющими серверами — среди них замечены адреса «api9[.]iosgaxx423[.]xyz» и «skt9[.]iosgaxx423[.]xyz».
Через эти соединения троян получает команды в реальном времени — их зафиксировано более тридцати. Они охватывают широкий диапазон: от сбора SMS, списка контактов и системной информации до эмуляции свайпов, кликов, ввода текста, установки и удаления приложений, захвата изображений с экрана и даже принудительной перезагрузки устройства.
Механизм фишинга реализован поэтапно: сначала пользователю предлагается пройти «верификацию» личности, загрузив фотографию удостоверения. Затем троян запрашивает банковские реквизиты, пароли и коды двухфакторной аутентификации. При этом RedHook ведёт запись всех нажатий клавиш, отмечая, в каком приложении и в каком активном окне они были введены, и регулярно передаёт эти данные на C2-сервер. Дополнительно он делает последовательные снимки экрана в формате JPEG, обеспечивая удалённому оператору возможность контролировать устройство в реальном времени.
Анализ содержимого открытого хранилища AWS S3, активного с ноября 2024 года, позволил выявить китаеязычные строки в логах, поддельные интерфейсы и шаблоны, а также скриншоты с эксплуатируемых устройств. Это даёт основания полагать, что за RedHook стоит китайская группировка, ранее использовавшая домен «mailisa[.]me» для менее технически сложных, но также направленных на обман схем социальной инженерии.
Несмотря на сложность и обширный функционал, RedHook остаётся практически незаметным для большинства антивирусов: его обнаружение в VirusTotal всё ещё крайне низкое. К моменту публикации отчёта Cyble было выявлено более 500 заражённых устройств, причём пользовательские ID в системе RedHook назначаются по возрастающей, что упрощает отслеживание новых жертв.
Троян активно применяет техники маскировки, описанные в базе MITRE ATT&CK, включая фишинг (T1660), внедрение команд ввода (T1516), захват экрана (T1513), сбор SMS (T1636.004), контактов (T1636.003) и эксфильтрацию данных через HTTP (T1437.001). Используя подмену доверенных интерфейсов и имитацию пользовательских действий, он успешно обходит даже многоуровневую защиту Android.
RedHook демонстрирует, насколько изощрёнными стали мобильные угрозы в регионах с активным банкингом через смартфоны. Специалисты по безопасности подчёркивают необходимость загружать приложения только из официальных магазинов, обращать внимание на запрашиваемые разрешения, активировать двухфакторную аутентификацию и использовать антивирусные решения с функциями анализа в реальном времени. Кроме того, своевременная установка обновлений безопасности и мониторинг даркнета критически важны для выявления и предотвращения подобных атак.
- Источник новости
- www.securitylab.ru
