Theo các chuyên gia an ninh mạng, chiến dịch này sử dụng mã độc có tên RedHook, với nhiều bằng chứng cho thấy nguồn gốc từ Trung Quốc.

Chiêu thức tấn công và lừa đảo 

Các tin tặc đã tạo ra hàng loạt website giả mạo các cơ quan nhà nước và tổ chức tài chính uy tín của Việt Nam như Ngân hàng Nhà nước (SBV), EVNCPC, Sacombank hay các hệ thống đăng kiểm xe cơ giới. Mục tiêu là để lừa người dùng tải về các ứng dụng giả mạo được ngụy trang dưới dạng tệp APK. Các tệp này được lưu trữ trên nền tảng điện toán đám mây Amazon S3 để dễ dàng thay đổi và che giấu mã độc.

Các ứng dụng giả mạo có tên gần giống với ứng dụng thật, ví dụ như SBV.apk, khiến người dùng dễ dàng mất cảnh giác. Sau khi bị lừa tải về, các nạn nhân sẽ bị yêu cầu cấp quyền truy cập sâu vào hệ thống, bao gồm quyền trợ năng (Accessibility) và quyền hiển thị lớp phủ (Overlay). Đây chính là "chìa khóa" giúp tin tặc thực hiện các hành vi độc hại:

Theo dõi và đánh cắp thông tin: Tin tặc có thể theo dõi mọi thao tác của người dùng trên màn hình, từ đó đọc trộm tin nhắn SMS, đánh cắp mã OTP, và truy cập danh bạ.

Chiếm quyền điều khiển hoàn toàn: Mã độc RedHook tích hợp tới 34 lệnh điều khiển từ xa, cho phép tin tặc chụp ảnh màn hình, gửi/nhận tin nhắn, cài đặt/gỡ bỏ ứng dụng, khóa/mở thiết bị và thực thi các lệnh hệ thống khác mà người dùng không hề hay biết.

Đặc biệt, mã độc còn sử dụng API MediaProjection để ghi lại toàn bộ nội dung hiển thị trên màn hình và gửi về máy chủ điều khiển. Cơ chế xác thực bằng JSON Web Token (JWT) cũng giúp duy trì quyền kiểm soát thiết bị trong thời gian dài, kể cả khi máy được khởi động lại.

Nguồn gốc và những dấu vết của tin tặc 

Qua phân tích, các chuyên gia an ninh mạng đã tìm thấy nhiều đoạn mã và chuỗi giao diện sử dụng ngôn ngữ Trung Quốc, cùng với các dấu vết liên kết với các chiến dịch lừa đảo đã từng xuất hiện tại Việt Nam.

Đáng chú ý, các tin tặc đã lợi dụng cả tên miền của một dịch vụ làm đẹp nổi tiếng là mailisa[.]me để phát tán mã độc. Điều này cho thấy chiến dịch RedHook không hoạt động đơn lẻ, mà là một phần của một chuỗi tấn công có tổ chức và được dàn dựng rất công phu. Các máy chủ điều khiển của mã độc, như api9.iosgaxx423.xyz và skt9.iosgaxx423.xyz, đều là các địa chỉ ẩn danh, khiến việc truy vết trở nên cực kỳ khó khăn.

Khuyến cáo an toàn cho người dùng 

Trước mức độ nguy hiểm của chiến dịch tấn công này, người dùng cần hết sức cẩn trọng để bảo vệ thông tin cá nhân và tài chính như tuyệt đối không cài đặt ứng dụng từ các nguồn không chính thức như tệp APK nhận qua tin nhắn, email, hay mạng xã hội. Chỉ nên tải ứng dụng từ Google Play Store. Người dùng cũng không nên cấp quyền trợ năng (Accessibility) cho các ứng dụng không rõ nguồn gốc. Các tổ chức nên áp dụng các biện pháp giám sát và lọc truy cập mạng để phát hiện sớm các kết nối bất thường tới máy chủ điều khiển của mã độc.

Nếu nghi ngờ điện thoại đã bị lây nhiễm, người dùng cần ngay lập tức ngắt kết nối internet, sao lưu các dữ liệu quan trọng, thực hiện khôi phục cài đặt gốc (factory reset), và thay đổi toàn bộ mật khẩu các tài khoản. Đồng thời, liên hệ với ngân hàng để kiểm tra tình trạng các tài khoản tài chính của mình.

Minh Trà