Крупная киберугроза: новый банковский троян RedHook атакует пользователей Android во Вьетнаме

Киберпреступники продолжают совершенствовать свои методы, и теперь их мишенью стали пользователи Android во Вьетнаме. Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила новый банковский троян под названием RedHook, который распространяется через фишинговые сайты, имитирующие доверенные финансовые и государственные организации. Зловред использует сложные механизмы для кражи конфиденциальных данных, включая учетные записи банковских приложений, а также позволяет злоумышленникам удаленно управлять зараженными устройствами.

Описание

Как работает RedHook?

Троян попадает на устройства жертв через фишинговый сайт sbvhn[.]com, который маскируется под Государственный банк Вьетнама. Пользователям предлагается скачать вредоносный APK-файл, загруженный на сервер Amazon Web Services (AWS S3). После установки приложение запрашивает доступ к специальным возможностям (Accessibility Services) и разрешение на отображение поверх других окон, что позволяет ему перехватывать действия пользователя и внедрять фишинговые формы прямо в легальные приложения.

Широкий спектр вредоносных функций

RedHook сочетает в себе несколько опасных технологий, включая сбор данных через фишинговые формы, кейлоггинг (запись нажатий клавиш) и функции удаленного доступа (RAT). Троян активно взаимодействует с командным сервером через WebSocket, передавая украденные данные и получая инструкции. Всего поддерживается 34 команды, включая сбор контактов и SMS, установку и удаление приложений, блокировку экрана и даже удаленную перезагрузку устройства.

Особую опасность представляет функция захвата экрана через MediaProjection API, которая позволяет злоумышленникам в реальном времени отслеживать действия жертвы. Кроме того, троян способен имитировать интерфейсы популярных вьетнамских банков и государственных служб, чтобы выманивать у пользователей данные для входа, номера карт и даже фотографии удостоверений личности.

Кто стоит за атакой?

Анализ кода RedHook выявил наличие китайских строк в логах, что может указывать на причастность китаеязычных хакеров или группировок. Также обнаружен открытый S3-бакет, использовавшийся для хранения украденных данных, включая скриншоты, фишинговые шаблоны и версии вредоносного ПО. Активность в этом хранилище отслеживается с ноября 2024 года, а первые образцы трояна появились в январе 2025-го.

Примечательно, что домен mailisa[.]me, связанный с RedHook, ранее фигурировал в схемах обмана вьетнамских пользователей через соцсети. Это позволяет предположить, что злоумышленники эволюционировали от простого мошенничества к разработке сложного вредоносного ПО.

Низкий уровень обнаружения и угроза для пользователей

Несмотря на широкий функционал, RedHook остается малоизученной угрозой: лишь немногие антивирусные решения детектируют его на VirusTotal. Это делает троян особенно опасным, поскольку зараженные устройства могут долгое время оставаться под контролем злоумышленников без ведома владельцев.

Эксперты отмечают, что атака ориентирована в первую очередь на вьетнамских пользователей, но не исключено, что в будущем троян может быть адаптирован и для других регионов. Учитывая растущую популярность мобильного банкинга, подобные угрозы требуют повышенного внимания как со стороны пользователей, так и разработчиков защитных решений.

Пока RedHook остается активной угрозой, и, судя по данным из открытого S3-бакета, число зараженных устройств уже превышает 500. Киберпреступники продолжают совершенствовать механизмы атаки, что делает эту ситуацию еще более тревожной для пользователей и специалистов по безопасности.