Thông qua những website lừa đảo được thiết kế tinh vi, RedHook nhắm thẳng vào người dùng phổ thông để đánh cắp dữ liệu cá nhân, tài khoản ngân hàng và chiếm quyền kiểm soát thiết bị một cách toàn diện.
Trang web phát tán mã độc giả mạo cơ quan nhà nước, tổ chức tài chính lớn
RedHook là mã độc Android được phát tán có chủ đích tại Việt Nam thông qua việc giả mạo cơ quan nhà nước, phân phối file APK qua SMS lừa đảo, mã QR, quảng cáo giả và lưu trữ trên AWS. Khi xâm nhập thiết bị. RedHook có thể kiểm soát hoàn toàn hệ thống, thu thập OTP, dữ liệu cá nhân, tài khoản ngân hàng và thực thi các lệnh điều khiển từ xa ở mức độ mà chuyên gia WhiteHat đánh giá là "đáng báo động".
Nhóm tấn công thực hiện xây dựng các website giả mạo, trong đó có website mạo danh Chính phủ Việt Nam, Cảnh sát giao thông Việt Nam, Ngân hàng Nhà nước Việt Nam… Các website giả mạo được thiết kế tinh vi nhằm đánh lừa người dùng rằng họ đang tải về ứng dụng chính thống, trong khi thực chất là các file cài đặt (APK) chứa mã độc được lưu trữ công khai và phân phối qua các tên miền giả mạo, cho phép kẻ tấn công dễ dàng thay đổi hạ tầng và điều chỉnh chiến dịch theo mục tiêu.
Theo đánh giá, RedHook đặc biệt nguy hiểm vì có khả năng ẩn mình trước phần mềm diệt virus với tỷ lệ phát hiện rất thấp tính đến thời điểm hiện tại, khiến nhiều thiết bị bị lây nhiễm mà không hề hay biết. Mã độc này còn nhắm vào người dùng tại Đông Nam Á, khu vực có mức độ phụ thuộc cao vào thiết bị di động trong giao dịch tài chính, làm gia tăng rủi ro mất dữ liệu và tài sản. Ngoài ra, chiến dịch phát tán mã độc này còn tái sử dụng các mẫu giả mạo bằng nhiều ngôn ngữ khác nhau, cho thấy khả năng mở rộng sang các khu vực khác trên toàn cầu trong tương lai.
Theo phân tích, ngay sau khi cài đặt, RedHook giả mạo giao diện đăng nhập của các ngân hàng quen thuộc để lừa người dùng nhập thông tin tài khoản đồng thời dụ người dùng cấp các quyền truy cập đặc quyền. Sau đó, mã độc trên tiến hành thu thập thông tin người dùng qua việc ghi lại các thao tác người dùng và điều khiển thiết bị từ xa từ đó chiếm đoạt các thông tin nhạy cảm như thông tin cá nhân, mật khẩu, tài khoản ngân hàng, mã OTP…
Khuyến nghị sử dụng an toàn cho người dùng
Đây là lời cảnh tỉnh rõ ràng rằng thiết bị di động vốn được chúng ta sử dụng hàng ngày để giao dịch và lưu trữ thông tin cá nhân đang trở thành mục tiêu tấn công hàng đầu. Khi chỉ một thao tác cài đặt vội vàng hoặc không có sự tìm hiểu kỹ càng, người dùng có thể đánh đổi bằng toàn bộ dữ liệu và tài sản. Để bảo đảm an toàn, người dân cần lưu ý:
Tuyệt đối không cài đặt ứng dụng ngoài Google Play hoặc các nguồn uy tín, đây là phương thức phổ biến để phát tán mã độc;
Không cài đặt từ nguồn không rõ ràng, đặc biệt lưu ý khi nhận được qua thư điện tử, tin nhắn SMS, mã QR, Zalo, Facebook hoặc các trang web không chính thống;
Cảnh giác với các trang web giả mạo có giao diện giống ngân hàng nhưng yêu cầu tải ứng dụng (file cài đặt APK đối với điện thoại Android);
Lưu ý kiểm tra kỹ tên ứng dụng, nhà phát hành, nếu nghi ngờ, không đăng nhập bất kỳ thông tin gì, kể cả số điện thoại, OTP;
Thận trọng khi ứng dụng yêu cầu quyền hệ thống bất thường như ghi màn hình, "Trợ năng" hoặc "Hiển thị trên ứng dụng khác" nếu không rõ mục đích;
Luôn cập nhật hệ điều hành và phần mềm bảo mật, kể cả trên các thiết bị đời cũ, để vá các lỗ hổng có thể bị khai thác;
Nếu thấy điện thoại hoạt động bất thường (hiển thị lạ, yêu cầu quyền lạ, tự động thao tác), ngắt mạng, gỡ ứng dụng, cài lại phần mềm bảo mật.
Trung tâm Công nghệ thông tin và Chuyển đổi số (BHXH Việt Nam)
