01/08/25
Этот банковский троян, впервые замеченный в январе 2025 года, действует особенно изощрённо: он маскируется под официальные приложения вьетнамских государственных структур и банков, включая Государственный банк Вьетнама, Sacombank, Центральную энергетическую корпорацию, Дорожную полицию и даже правительственные сервисы страны.
Для распространения трояна злоумышленники используют фишинговые сайты, оформленные под сайты госструктур, размещённые на доменах вроде «sbvhn[.]com» и загружаемые с помощью хостинга Amazon S3, пишут в Securitylab.
После установки RedHook запрашивает разрешения на использование сервисов доступности и наложение интерфейсов поверх других приложений. Эти разрешения позволяют трояну бесшумно отслеживать активность владельца устройства, подменять интерфейсы и обходить системы защиты, включая механизмы единого входа (SSO). Такое сочетание функций делает его мощным инструментом для кражи учётных данных и проведения мошеннических транзакций.
В арсенале RedHook присутствуют элементы удалённого управления устройством (RAT), кейлоггер, а также возможность захвата экрана с использованием Android MediaProjection API. После установки троян инициирует постоянное соединение по WebSocket с управляющими серверами — среди них замечены адреса «api9[.]iosgaxx423[.]xyz» и «skt9[.]iosgaxx423[.]xyz».
Через эти соединения троян получает команды в реальном времени — их зафиксировано более тридцати. Они охватывают широкий диапазон: от сбора SMS, списка контактов и системной информации до эмуляции свайпов, кликов, ввода текста, установки и удаления приложений, захвата изображений с экрана и даже принудительной перезагрузки устройства.
Механизм фишинга реализован поэтапно: сначала пользователю предлагается пройти «верификацию» личности, загрузив фотографию удостоверения. Затем троян запрашивает банковские реквизиты, пароли и коды двухфакторной аутентификации. При этом RedHook ведёт запись всех нажатий клавиш, отмечая, в каком приложении и в каком активном окне они были введены, и регулярно передаёт эти данные на C2-сервер. Дополнительно он делает последовательные снимки экрана в формате JPEG, обеспечивая удалённому оператору возможность контролировать устройство в реальном времени.
Анализ содержимого открытого хранилища AWS S3, активного с ноября 2024 года, позволил выявить китаеязычные строки в логах, поддельные интерфейсы и шаблоны, а также скриншоты с эксплуатируемых устройств. Это даёт основания полагать, что за RedHook стоит китайская группировка, ранее использовавшая домен «mailisa[.]me» для менее технически сложных, но также направленных на обман схем социальной инженерии.
Несмотря на сложность и обширный функционал, RedHook остаётся практически незаметным для большинства антивирусов: его обнаружение в VirusTotal всё ещё крайне низкое. К моменту публикации отчёта Cyble было выявлено более 500 заражённых устройств, причём пользовательские ID в системе RedHook назначаются по возрастающей, что упрощает отслеживание новых жертв.
Троян активно применяет техники маскировки, описанные в базе MITRE ATT&CK, включая фишинг (T1660), внедрение команд ввода (T1516), захват экрана (T1513), сбор SMS (T1636.004), контактов (T1636.003) и эксфильтрацию данных через HTTP (T1437.001). Используя подмену доверенных интерфейсов и имитацию пользовательских действий, он успешно обходит даже многоуровневую защиту Android.
RedHook демонстрирует, насколько изощрёнными стали мобильные угрозы в регионах с активным банкингом через смартфоны. Специалисты по безопасности подчёркивают необходимость загружать приложения только из официальных магазинов, обращать внимание на запрашиваемые разрешения, активировать двухфакторную аутентификацию и использовать антивирусные решения с функциями анализа в реальном времени. Кроме того, своевременная установка обновлений безопасности и мониторинг даркнета критически важны для выявления и предотвращения подобных атак.
