Context

De gezamenlijke Israëlisch-Amerikaanse operatie tegen Iran (Epic Fury/Roaring Lion) heeft niet alleen een fysieke escalatie veroorzaakt, maar ook een digitale. Terwijl burgers massaal vertrouwen op rocket-alert apps van het Home Front Command, verspreiden dreigingsactoren een gemanipuleerde versie via sms-spoofing. De trojan vermomt zich als de officiële Red Alert-app, maar fungeert in werkelijkheid als spyware.

Hoe de aanval werkt

  • Verspreiding: slachtoffers ontvangen een sms met een zogenaamd dringende update-link. De download gebeurt buiten de Play Store, waardoor gewone beveiligingschecks worden omzeild.
  • Vertrouwensbreuk: de app kopieert exact de interface van het origineel en levert zelfs echte waarschuwingen om geloofwaardig te blijven.
  • Permission-grab: bij de eerste start vraagt de app niet alleen om notificaties, maar ook om toegang tot sms, contacten en locatie. Elk verleend recht triggert onmiddellijk een exfiltratie-routine.
  • Drie fasen:
    1. Loader (RedAlert.apk) die anti-tamper-hooks installeert en een verborgen asset uitpakt.
    2. Asset umgdn die als secundaire DEX wordt geladen.
    3. Kernpayload (DebugProbesKt.dex) die data steelt en naar de C2-servers pusht.

Bekende IOCs

Bestandsnaam: RedAlert.apk (package: com.red.alertx)
MD5:    9c6c67344fecd8ff8dbbee877aad7efc
SHA256: 83651b0589665b112687f0858bfe2832ca317ba75e700c91ac34025ee6578b72

C2 / infrastructuur

  • api.ra-backup.com → 216.45.58.148 (ASN QUADRANET-GLOBAL)
  • AWS-proxies: 44.208.242.141, 44.200.176.254 (beiden AMAZON-AES)
  • Cloudflare-nodes: 104.21.64.137, 172.67.137.156 (gebruikt voor redalert.me en tussenliggende API’s)

Verspreidings-URL’s

  • https://www.shirideitch.com/wp-content/uploads/2022/06/RedAlert.apk
  • http://bit.ly/3Ozydsn
  • https://bit.ly/2O3fHEX
  • https://bit.ly/3GfZoys
  • https://api.ra-backup.com/analytics/submit.php

Waarom dit ertoe doet

  • Fysiek risico: continue GPS-tracking tijdens luchtalarmen kan schuilplaatsen of troepenbewegingen verraden.
  • 2FA-bypass: sms-interceptie opent de deur naar accountovernames bij overheid en kritieke infra.
  • Psychologische oorlogsvoering: als burgers legitime waarschuwingen niet meer vertrouwen, neemt het aantal slachtoffers bij raketaanvallen toe.

Aanbevolen maatregelen

  1. Blokkeer domains/IP’s hierboven op egress- en DNS-niveau.
  2. Mobile Threat Defense: dwing alleen installatie via beheerde stores of via Google Play Protect.
  3. Bewustwording: stuur een korte waarschuwing naar personeel/partners in de regio: download alléén via de officiële Play Store-link.
  4. IOC-monitoring: voeg de hashes en URL’s toe aan SIEM/SOAR-playbooks voor automatische quarantaines.
  5. Incident-handling: mocht een toestel besmet zijn, trek direct alle bedrijfstoepassingen in (MDM) en roteer gebruikte accounts.

Bronnen

  • CloudSEK, RedAlert Trojan Campaign (10 maart 2026)
  • Unit 42, Threat Brief: March 2026 Escalation of Cyber Risk Related to Iran (10 maart 2026)