RedHook là mã độc Android được phát tán có chủ đích tại Việt Nam thông qua việc giả mạo cơ quan nhà nước, phân phối file APK qua SMS lừa đảo, mã QR, quảng cáo giả và lưu trữ trên AWS. Khi xâm nhập thiết bị, RedHook có thể kiểm soát hoàn toàn hệ thống, thu thập OTP, dữ liệu cá nhân, tài khoản ngân hàng và thực thi các lệnh điều khiển từ xa ở mức độ mà chuyên gia bảo mật đánh giá là "đáng báo động".

Các Website giả mạo được thiết kế tinh vi nhằm đánh lừa người dùng rằng họ đang tải về ứng dụng chính thống, trong khi thực chất là các tệp APK chứa mã độc RedHook được lưu trữ trên dịch vụ AWS S3 công khai và phân phối qua các tên miền giả mạo, cho phép kẻ tấn công dễ dàng thay đổi hạ tầng và điều chỉnh chiến dịch theo mục tiêu.
Chuyên gia WhiteHat đánh giá RedHook đặc biệt nguy hiểm vì có khả năng ẩn mình trước phần mềm diệt virus với tỉ lệ phát hiện rất thấp tính đến thời điểm hiện tại, khiến nhiều thiết bị bị lây nhiễm mà không hề hay biết. Mã độc này còn nhắm vào người dùng tại Đông Nam Á, khu vực có mức độ phụ thuộc cao vào thiết bị di động trong giao dịch tài chính, làm gia tăng rủi ro mất dữ liệu và tài sản. Ngoài ra, chiến dịch phát tán RedHook còn tái sử dụng các mẫu giả mạo bằng nhiều ngôn ngữ khác nhau, cho thấy khả năng mở rộng sang các khu vực khác trên toàn cầu trong tương lai.
Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an tỉnh khuyến cáo:
1. Người dùng cá nhân:
•Tuyệt đối không cài đặt ứng dụng ngoài Google Play hoặc các nguồn uy tín; đây là phương thức phổ biến để phát tán mã độc như RedHook.
•Không cài đặt file APK từ nguồn không rõ ràng, đặc biệt khi nhận được qua SMS, mã QR, Zalo, Facebook hoặc các trang web không chính thống.
•Cảnh giác với các trang web giả mạo có giao diện giống ngân hàng nhưng yêu cầu tải ứng dụng APK.
•Thận trọng khi ứng dụng yêu cầu quyền hệ thống bất thường như: Accessibility, Overlay hoặc ghi màn hình.
•Luôn cập nhật hệ điều hành và phần mềm bảo mật, kể cả trên các thiết bị đời cũ, để vá các lỗ hổng có thể bị khai thác.
2. Cơ quan nhà nước và các tổ chức/doanh nghiệp
•Tăng cường giám sát và phát hiện mã độc trên thiết bị người dùng, đặc biệt các hành vi bất thường liên quan đến quyền hệ thống.
•Chủ động cảnh báo người dùng về hình thức tấn công mới như RedHook thông qua email, SMS và ứng dụng chính thức.
•Chia sẻ thông tin tình báo mối đe dọa (threat intelligence) để nhanh chóng phát hiện, cảnh báo và ngăn chặn sự lây lan.
•Phối hợp với các nhà cung cấp dịch vụ như AWS để gỡ bỏ các bucket hoặc tên miền dùng phát tán mã độc.
•Ban hành cảnh báo khẩn nội bộ và rà soát hệ thống tên miền giả mạo, đồng thời cập nhật các chỉ số nhận diện tấn công (IOC) nhằm theo dõi và xử lý kịp thời.