Buzz
Theo VTV.vn, Bkav đưa ra khuyến nghị mạnh mẽ: người dùng nên tránh xa các phần mềm không được phân phối chính thức qua Google Play, đặc biệt cảnh giác với file APK được chia sẻ qua email, tin nhắn hoặc các nền tảng mạng xã hội.
BKAV mới đây đã cảnh báo về một đợt tấn công bằng mã độc RedHook nhằm đánh cắp thông tin cá nhân, chiếm đoạt tài khoản ngân hàng và kiểm soát thiết bị từ xa, với đối tượng chính là người dùng Việt Nam.
Theo phân tích từ BKAV, các hacker đã tạo ra hàng loạt trang web giả mạo các cơ quan chính phủ và tổ chức tài chính lớn như Ngân hàng Nhà nước Việt Nam (SBV), Sacombank (Sacombank Pay), Tổng công ty Điện lực miền Trung (EVNCPC) và Hệ thống đặt lịch đăng kiểm ô tô (TTDK). Chúng nhúng mã độc vào các ứng dụng giả mạo rồi phân phối qua nhiều kênh như email, tin nhắn chat hoặc quảng cáo trên các công cụ tìm kiếm.
Các ứng dụng độc hại được ngụy trang tinh vi với tên gọi tương tự bản chính thức (ví dụ SBV.apk), được lưu trữ trên nền tảng đám mây Amazon S3 để dễ dàng cập nhật và che giấu mã độc. Sau khi cài đặt, chúng yêu cầu quyền truy cập hệ thống quan trọng như quyền trợ năng (Accessibility) và quyền hiển thị lớp phủ (Overlay), cho phép hacker theo dõi mọi hoạt động, đọc tin nhắn SMS, lấy mã OTP, truy cập danh bạ và thao tác thiết bị mà không để lại dấu vết.
Khi phân tích ngược mã nguồn RedHook, đội ngũ chuyên gia Bkav phát hiện loại mã độc này tích hợp tới 34 tính năng điều khiển từ xa, từ chụp ảnh màn hình, quản lý tin nhắn, cài đặt ứng dụng cho đến khóa thiết bị. Chúng sử dụng API MediaProjection để ghi lại toàn bộ hoạt động trên màn hình và gửi về máy chủ điều khiển. Đặc biệt, RedHook sử dụng cơ chế xác thực JSON Web Token (JWT) để duy trì quyền kiểm soát lâu dài, ngay cả khi thiết bị được khởi động lại.
Bkav nhấn mạnh: người dùng chỉ nên cài ứng dụng từ Google Play, tuyệt đối không tải file APK từ nguồn không đáng tin cậy. Đặc biệt không cấp quyền trợ năng (Accessibility) cho bất kỳ ứng dụng nào không rõ nguồn gốc.
Doanh nghiệp và tổ chức cần áp dụng ngay các giải pháp kiểm soát truy cập mạng, hệ thống lọc DNS cùng cơ chế cảnh báo khi phát hiện kết nối đến những tên miền khả nghi liên quan đến hệ thống điều khiển mã độc. Trường hợp phát hiện dấu hiệu nhiễm độc, cần ngay lập tức cách ly mạng Internet, backup dữ liệu trọng yếu, thực hiện khôi phục cài đặt gốc (factory reset), thay đổi toàn bộ mật khẩu quan trọng và liên hệ ngân hàng để kiểm tra bất thường trên tài khoản.
