Các tổ chức, cá nhân, người dùng cần thận trọng khi tải ứng dụng, phòng nhiễm mã độc RedHook
Thông qua những website lừa đảo được thiết kế tinh vi, RedHook nhắm thẳng vào người dùng phổ thông để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và chiếm quyền kiểm soát thiết bị một cách toàn diện.
RedHook là mã độc Android được phát tán có chủ đích tại Việt Nam thông qua việc giả mạo cơ quan nhà nước, phân phối file APK qua SMS lừa đảo, mã QR, quảng cáo giả và lưu trữ trên AWS. Khi xâm nhập thiết bị, RedHook có thể kiểm soát hoàn toàn hệ thống, thu thập OTP, dữ liệu cá nhân, tài khoản ngân hàng và thực thi các lệnh điều khiển từ xa ở mức độ mà chuyên gia WhiteHat đánh giá là "đáng báo động".
Theo đó, các website giả mạo được thiết kế tinh vi nhằm đánh lừa người dùng rằng họ đang tải về ứng dụng chính thống, trong khi thực chất là các tệp APK chứa mã độc RedHook được lưu trữ trên dịch vụ AWS S3 công khai và phân phối qua các tên miền giả mạo, cho phép kẻ tấn công dễ dàng thay đổi hạ tầng và điều chỉnh chiến dịch theo mục tiêu.
Theo chuyên gia WhiteHat, RedHook đặc biệt nguy hiểm vì có khả năng ẩn mình trước phần mềm diệt virus với tỉ lệ phát hiện rất thấp tính đến thời điểm hiện tại, khiến nhiều thiết bị bị lây nhiễm mà không hề hay biết. Mã độc này còn nhắm vào người dùng tại Đông Nam Á, khu vực có mức độ phụ thuộc cao vào thiết bị di động trong giao dịch tài chính, làm gia tăng rủi ro mất dữ liệu và tài sản.
Ngoài ra, chiến dịch phát tán RedHook còn tái sử dụng các mẫu giả mạo bằng nhiều ngôn ngữ khác nhau, cho thấy khả năng mở rộng sang các khu vực khác trên toàn cầu trong tương lai.
Các nhà nghiên cứu an ninh mạng đã phát hiện nhiều dấu vết cho thấy chiến dịch tấn công có liên quan đến các nhóm nói tiếng Trung Quốc. Cụ thể, mã nguồn ứng dụng độc hại và bằng chứng từ một bucket S3 công khai cho thấy đây là hành vi của một cá nhân hoặc nhóm tấn công nói tiếng Trung.
Nhiều chuỗi văn bản tiếng Trung xuất hiện trong log và ảnh chụp giao diện WebSocket, cung cấp manh mối về nguồn gốc của mã độc. Bucket S3 này, hoạt động từ ít nhất tháng 11-2024, chứa một lượng lớn dữ liệu vận hành như mẫu giao diện ngân hàng giả mạo, ảnh chụp các giai đoạn lừa đảo và tài liệu liên quan đến các chiến dịch nhắm vào người dùng tại Việt Nam.
Đáng chú ý, một mối liên hệ được xác lập với tên miền mailisa[.]me, từng liên quan đến các vụ lừa đảo mỹ phẩm quy mô lớn tại Việt Nam. Điều này cho thấy kẻ tấn công đã chuyển từ các hình thức lừa đảo đơn giản sang sử dụng phần mềm độc hại tinh vi để mở rộng quy mô và mức độ gây hại.
Theo nghiên cứu, mã độc này lừa người dùng ngay từ bước đầu tiên; tiếp theo ghi lại thao tác và điều khiển thiết bị từ xa. Mã độc có hơn 30 lệnh điều khiển từ xa cực kỳ nguy hiểm.
Các chuyên gia WhiteHat khuyến cáo người dùng cá nhân tuyệt đối không cài đặt ứng dụng ngoài Google Play hoặc các nguồn uy tín vì đây là phương thức phổ biến để phát tán mã độc như RedHook.
Không cài đặt file APK từ nguồn không rõ ràng, đặc biệt khi nhận được qua SMS, mã QR, Zalo, Facebook hoặc các trang web không chính thống; Cảnh giác với các trang web giả mạo có giao diện giống ngân hàng nhưng yêu cầu tải ứng dụng APK;
Thận trọng khi ứng dụng yêu cầu quyền hệ thống bất thường như: Accessibility, Overlay hoặc ghi màn hình; Và luôn cập nhật hệ điều hành và phần mềm bảo mật, kể cả trên các thiết bị đời cũ, để vá các lỗ hổng có thể bị khai thác.
Với Chính phủ và các tổ chức/doanh nghiệp, cần tăng cường giám sát và phát hiện mã độc trên thiết bị người dùng, đặc biệt các hành vi bất thường liên quan đến quyền hệ thống;
Chủ động cảnh báo người dùng về hình thức tấn công mới như RedHook thông qua email, SMS và ứng dụng chính thức; Chia sẻ thông tin tình báo mối đe dọa (threat intelligence) để nhanh chóng phát hiện, cảnh báo và ngăn chặn sự lây lan.
Bên cạnh đó, cần phối hợp với các nhà cung cấp dịch vụ như AWS để gỡ bỏ các bucket hoặc tên miền dùng phát tán mã độc; Ban hành cảnh báo khẩn nội bộ và rà soát hệ thống tên miền giả mạo, đồng thời cập nhật các chỉ số nhận diện tấn công (IOC) nhằm theo dõi và xử lý kịp thời.
RedHook không phải là trường hợp cá biệt, đây là lời cảnh tỉnh rõ ràng rằng thiết bị di động vốn được chúng ta sử dụng hàng ngày để giao dịch và lưu trữ thông tin cá nhân đang trở thành mục tiêu tấn công hàng đầu. Khi chỉ một thao tác cài đặt vội vàng hoặc không có sự tìm hiểu kỹ càng, người dùng có thể đánh đổi bằng toàn bộ dữ liệu và tài sản.