Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Android-троян RedHook притворяется государственными приложениями для распространения Азии

01/08/25

androhack

Этот банковский троян, впервые замеченный в январе 2025 года, действует особенно изощрённо: он маскируется под официальные приложения вьетнамских государственных структур и банков, включая Государственный банк Вьетнама, Sacombank, Центральную энергетическую корпорацию, Дорожную полицию и даже правительственные сервисы страны.

Для распространения трояна злоумышленники используют фишинговые сайты, оформленные под сайты госструктур, размещённые на доменах вроде «sbvhn[.]com» и загружаемые с помощью хостинга Amazon S3, пишут в Securitylab

После установки RedHook запрашивает разрешения на использование сервисов доступности и наложение интерфейсов поверх других приложений. Эти разрешения позволяют трояну бесшумно отслеживать активность владельца устройства, подменять интерфейсы и обходить системы защиты, включая механизмы единого входа (SSO). Такое сочетание функций делает его мощным инструментом для кражи учётных данных и проведения мошеннических транзакций.

В арсенале RedHook присутствуют элементы удалённого управления устройством (RAT), кейлоггер, а также возможность захвата экрана с использованием Android MediaProjection API. После установки троян инициирует постоянное соединение по WebSocket с управляющими серверами — среди них замечены адреса «api9[.]iosgaxx423[.]xyz» и «skt9[.]iosgaxx423[.]xyz».

Через эти соединения троян получает команды в реальном времени — их зафиксировано более тридцати. Они охватывают широкий диапазон: от сбора SMS, списка контактов и системной информации до эмуляции свайпов, кликов, ввода текста, установки и удаления приложений, захвата изображений с экрана и даже принудительной перезагрузки устройства.

Механизм фишинга реализован поэтапно: сначала пользователю предлагается пройти «верификацию» личности, загрузив фотографию удостоверения. Затем троян запрашивает банковские реквизиты, пароли и коды двухфакторной аутентификации. При этом RedHook ведёт запись всех нажатий клавиш, отмечая, в каком приложении и в каком активном окне они были введены, и регулярно передаёт эти данные на C2-сервер. Дополнительно он делает последовательные снимки экрана в формате JPEG, обеспечивая удалённому оператору возможность контролировать устройство в реальном времени.

Анализ содержимого открытого хранилища AWS S3, активного с ноября 2024 года, позволил выявить китаеязычные строки в логах, поддельные интерфейсы и шаблоны, а также скриншоты с эксплуатируемых устройств. Это даёт основания полагать, что за RedHook стоит китайская группировка, ранее использовавшая домен «mailisa[.]me» для менее технически сложных, но также направленных на обман схем социальной инженерии.

Несмотря на сложность и обширный функционал, RedHook остаётся практически незаметным для большинства антивирусов: его обнаружение в VirusTotal всё ещё крайне низкое. К моменту публикации отчёта Cyble было выявлено более 500 заражённых устройств, причём пользовательские ID в системе RedHook назначаются по возрастающей, что упрощает отслеживание новых жертв.

Троян активно применяет техники маскировки, описанные в базе MITRE ATT&CK, включая фишинг (T1660), внедрение команд ввода (T1516), захват экрана (T1513), сбор SMS (T1636.004), контактов (T1636.003) и эксфильтрацию данных через HTTP (T1437.001). Используя подмену доверенных интерфейсов и имитацию пользовательских действий, он успешно обходит даже многоуровневую защиту Android.

RedHook демонстрирует, насколько изощрёнными стали мобильные угрозы в регионах с активным банкингом через смартфоны. Специалисты по безопасности подчёркивают необходимость загружать приложения только из официальных магазинов, обращать внимание на запрашиваемые разрешения, активировать двухфакторную аутентификацию и использовать антивирусные решения с функциями анализа в реальном времени. Кроме того, своевременная установка обновлений безопасности и мониторинг даркнета критически важны для выявления и предотвращения подобных атак.

Темы:AndroidПреступлениятрояныфишингCyble
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Примеры фишинга через электронную почту: Как распознать фишинговое письмо
    Антон Тихонов, Технический менеджер направления McAfee
    Готовая инструкция, как распознать фишинговое письмо: простые советы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...