サイバーセキュリティ企業 Cyble Research and Intelligence Labs(CRIL) の研究者たちは、ベトナムのモバイルユーザーを積極的に標的としている新たなAndroidバンキング型トロイの木馬 「RedHook」 を発見しました。 このマルウェアは、信頼できる金融機関や政府機関を装った巧妙なフィッシングサイトを通じて拡散されています。
RedHookは一度インストールされると、フィッシング、キーロギング、リモートアクセスといった危険な機能を組み合わせ、感染したデバイスを完全に制御できるようになります。にもかかわらず、アンチウイルス製品による検知率は低く、目立たないように活動します。
RedHook Android バンキングトロイキャンペーンの解析
CRILがRedHookを初めて検知したのは、sbvhn[.]com というフィッシングサイト経由でした。 このサイトは**ベトナム国家銀行(State Bank of Vietnam)**を模倣しており、ユーザーを騙してトロイ化されたAPKファイル(SBV.apk)をダウンロードさせようとします。 このファイルは公開状態の AWS S3バケット(hxxps://nfe-bucketapk.s3.ap-southeast-1.amazonaws[.]com/SBV.apk)にホストされていました。
そのS3バケットにはスクリーンショット、フィッシングテンプレート、マルウェアの複数バージョンが含まれており、RedHookは少なくとも2024年11月から活動していたことが判明しました。野生環境でのサンプルは2025年1月までに確認されています。
RedHookのインフラには mailisa[.]me などのドメインが含まれており、これは以前ベトナム国内の化粧品詐欺キャンペーンに使用されていたものです。 このことから、攻撃者がソーシャルエンジニアリング詐欺から進化し、Androidバンキング型トロイを使った高度な攻撃へと移行したことが示唆されます。
感染の流れと機能
インストール後、RedHookはユーザーにオーバーレイアクセスとAndroidのアクセシビリティサービス権限を要求します。 これらの権限により、マルウェアは以下のような侵入的な行動を実行可能になります。
オーバーレイ型フィッシングページの起動
すべてのキーストローク(入力内容)の記録(キーロギング)
連絡先やSMSの外部送信
アプリのインストールおよびアンインストール
MediaProjection APIの悪用によるスクリーンキャプチャ
RedHookはこれらの画面キャプチャをWebSocket通信を介して攻撃者のC2サーバーにリアルタイム送信します。
通信面では、C2との持続的なWebSocket接続をskt9.iosgaxx423.xyzのサブドメインで維持し、初期HTTP通信にはapi9.iosgaxx423.xyzを使用します。 マルウェアは34種類の遠隔コマンドをサポートしており、端末情報・SMS・スクリーンショットの収集、コマンド送信、オーバーレイの起動などが可能です。
技術的解析
起動時、RedHookはベトナム国家銀行の偽ログイン画面を表示します。 ユーザーが認証情報を入力すると、それらは /auth/V2/login に送信されます。 サーバーは応答としてJWTアクセストークンとクライアントIDを返し、RedHookはこれらを使って /member/info/addDevice にデバイス情報を報告します。 報告内容には、デバイスID、ブランド、画面の向き、ロックタイプなどが含まれ、攻撃者は感染デバイスの登録と追跡を行えます。
解析時点で、登録済みのユーザーID数は570件に増加しており、500台以上の感染が発生していると推定されます。
フィッシングの流れ
RedHookによるフィッシングの手順は次のように段階的に進行します。
- 被害者は市民IDカードの写真を撮影・アップロードするよう促され、その画像は /file/upload/ に送信されます。
- 続いて、銀行名、口座番号、氏名、住所、生年月日などの個人情報を入力します。興味深いことに、これらの入力テンプレートはベトナム語ではなくインドネシア語で表示されていました。
- 最後に、被害者は4桁のパスワードと6桁の二段階認証コードを入力します。
すべてのキー入力はアプリのパッケージ名や画面アクティビティと紐付けられ、C2サーバーへ送信されます。
RAT機能と攻撃者の手がかり
WebSocket接続(skt9経由)により、RAT(リモートアクセス型トロイ)の機能が有効化されます。 このセッション中、画面フレームはJPEGに変換され、攻撃者へライブストリーミングされます。
公開S3バケットには、WebSocketセッション中のスクリーンショットや中国語インターフェースの要素が含まれていました。 また、マルウェアのログ内にも中国語の文字列が確認されており、攻撃者が中国語話者である可能性が示唆されています。