Cyble Research and Intelligence Labs (CRIL) đã phát hiện một mối đe dọa mạng tinh vi mới dưới dạng trojan ngân hàng Android mang tên RedHook. Mã độc này ngụy trang thành các ứng dụng hợp pháp từ chính phủ và các tổ chức tài chính Việt Nam nhằm lừa đảo người dùng.
RedHook xuất hiện lần đầu tiên vào khoảng tháng 1 năm 2025, lợi dụng các trang web lừa đảo (phishing) mạo danh các tổ chức như Ngân hàng Nhà nước Việt Nam, Sacombank, Tổng công ty Điện lực miền Trung và Cảnh sát Giao thông Việt Nam, thậm chí là Chính phủ Việt Nam.
Kỹ thuật Phân Phối và Lây Nhiễm
Mã độc RedHook được phân phối thông qua các tên miền lừa đảo như sbvhn[.]com và được lưu trữ trên các thùng AWS S3. Kẻ tấn công lừa người dùng tải xuống các tệp APK độc hại giả mạo ứng dụng ngân hàng chính thức.
Sau khi cài đặt, RedHook sẽ nhắc nhở nạn nhân bật các dịch vụ hỗ trợ tiếp cận (accessibility services) và cấp quyền overlay, từ đó có được quyền kiểm soát mở rộng trên thiết bị. Sự kết hợp các quyền này cho phép trojan âm thầm giám sát hoạt động của người dùng, phủ lớp giao diện giả mạo và vượt qua các giao thức bảo mật. Đây là công cụ mạnh mẽ để đánh cắp dữ liệu thông tin đăng nhập và thực hiện gian lận tài chính.
Khả Năng và Chức Năng Của RedHook
Tính Năng Mã Độc Nâng Cao
Các khả năng của RedHook vượt xa hình thức lừa đảo cơ bản, tích hợp chức năng của trojan truy cập từ xa (RAT), ghi lại thao tác bàn phím (keylogging), và chụp màn hình thông qua API MediaProjection của Android. Đối với khả năng keylogging chi tiết, bạn có thể tham khảo thêm về các kỹ thuật tương tự tại GBHackers.
Mã độc này thiết lập một kết nối WebSocket liên tục đến các máy chủ chỉ huy và kiểm soát (C2), cho phép giao tiếp thời gian thực và thực thi hơn 30 lệnh. Các máy chủ C2 được xác định bao gồm:
- api9[.]iosgaxx423.xyz
- skt9[.]iosgaxx423.xyz
Các lệnh này bao gồm thu thập thông tin thiết bị, tin nhắn SMS, danh bạ, thực hiện các cử chỉ như vuốt, nhấp chuột và nhập văn bản, cũng như cài đặt hoặc gỡ bỏ ứng dụng, chụp ảnh màn hình và thậm chí khởi động lại thiết bị.
Quy Trình Lừa Đảo Chuyên Nghiệp
Quy trình lừa đảo của RedHook được thiết kế tỉ mỉ: bắt đầu bằng các lời nhắc xác minh danh tính giả mạo yêu cầu tải lên ảnh căn cước công dân. Sau đó là các yêu cầu về chi tiết ngân hàng, mật khẩu và mã xác minh hai bước. Nhật ký bàn phím, được gắn thẻ tên gói ứng dụng và chi tiết lớp hoạt động, được gửi về máy chủ C2. Luồng màn hình liên tục dưới dạng hình ảnh JPEG cho phép kẻ tấn công tương tác từ xa với thiết bị.
Nhận Diện Nguồn Gốc và Tác Động
Chỉ Dấu Về Kẻ Tấn Công
Các bằng chứng mã nguồn, bao gồm các chuỗi ngôn ngữ tiếng Trung trong nhật ký và ảnh chụp màn hình bị lộ từ một thùng AWS S3 mở, hoạt động từ tháng 11 năm 2024, cho thấy một nhà phát triển hoặc nhóm nói tiếng Trung đứng sau RedHook. Thùng AWS S3 này đã tiết lộ dữ liệu hoạt động như các mẫu giả mạo, giao diện lừa đảo, và bằng chứng liên kết với các vụ lừa đảo trước đây qua tên miền mailisa[.]me. Điều này cho thấy sự tiến hóa từ các vụ lừa đảo kỹ thuật xã hội sang các cuộc tấn công dựa trên mã độc nâng cao. Thông tin chi tiết về vụ việc được công bố trên blog của Cyble: RedHook: New Android Banking Trojan Targeting Vietnam. Về các lỗ hổng liên quan đến AWS CDK, có thể tìm hiểu thêm tại GBHackers.
Bất chấp các tính năng nâng cao, RedHook duy trì tỷ lệ phát hiện thấp trên các nền tảng như VirusTotal, cho thấy bản chất lén lút và những thách thức trong cảnh quan mối đe dọa mạng di động. Phân tích cho thấy nó đã lây nhiễm hơn 500 thiết bị, với ID người dùng tăng tuần tự sau mỗi vụ xâm nhập.
Kỹ Thuật Né Tránh Phát Hiện và MITRE ATT&CK
Trojan này lạm dụng các API hợp pháp để né tránh phòng thủ, chẳng hạn như ngụy trang thành các ứng dụng đáng tin cậy và tiêm các đầu vào để bắt chước tương tác của người dùng. Điều này phù hợp với các kỹ thuật MITRE ATT&CK như Phishing (T1660), Input Injection (T1516) và Screen Capture (T1513). Nó thu thập dữ liệu được bảo vệ, bao gồm SMS (T1636.004) và danh bạ (T1636.003), đánh cắp dữ liệu qua các kênh C2 dựa trên HTTP (T1437.001). Điều này cho phép thu hoạch có hệ thống thông tin nhạy cảm để thực hiện các giao dịch gian lận, thường mà nạn nhân không hề hay biết, cho thấy đây là một mối đe dọa mạng đáng lo ngại.
Giải Pháp Phòng Ngừa và Nâng Cao An Toàn Thông Tin
Sự xuất hiện của RedHook làm nổi bật sự tinh vi ngày càng tăng của các trojan ngân hàng Android trong các khu vực rủi ro cao như Việt Nam, kết hợp lừa đảo, RAT và keylogging để kiểm soát thiết bị toàn diện. Các chuyên gia an ninh mạng khuyến nghị:
- Chỉ tải xuống ứng dụng từ các nguồn chính thức.
- Kiểm tra kỹ lưỡng các yêu cầu cấp quyền của ứng dụng.
- Bật xác thực hai yếu tố (2FA) cho các tài khoản quan trọng.
- Sử dụng các giải pháp bảo mật di động có khả năng quét thời gian thực.
- Cập nhật thiết bị thường xuyên với các bản vá bảo mật là rất quan trọng để giảm thiểu các lỗ hổng.
- Thực hiện threat intelligence chủ động, bao gồm giám sát hoạt động trên dark web, là điều cần thiết để phát hiện sớm và ứng phó với các mối đe dọa mạng đang phát triển này, nhằm nâng cao an toàn thông tin tổng thể.
