Cyberkriminelle verkaufen ‚Hook‘ Android-Malware zur Fernsteuerung von Smartphones

In einem Bericht von ThreatFabric wird eine Android-Malware mit dem Namen ‚Hook‘ verkauft, von der Cyberkriminelle prahlen, dass sie in der Lage ist, Smartphones in Echtzeit über Virtual Network Computing (VNC) fernzusteuern.

Für diejenigen, die es nicht wissen, ist Virtual Network Computing ein plattformübergreifendes Bildschirmfreigabesystem, um einen anderen Computer aus der Ferne zu steuern.

Weiterhin wird gesagt, dass die Malware von den Machern von Ermac beworben wird; es handelt sich ebenfalls um eine Android-Malware, die für 5.000 $/Monat an die Angreifer verkauft wird, was ihnen wiederum hilft, Informationen aus Banking- und Krypto-Apps mithilfe überlagerter Anmeldeseiten zu stehlen.

Die Malware wird als Google Chrome APK über diese Paketnamen verteilt: “ com.lojbiwawajinu.guna ”, “ com.damaariwonomivi.docebi ” und “ com.yecomevusaso.pisifo ”.

Das gesagt, behauptet der Ersteller der Malware, dass der neue Malware-Code ‚Hook‘ von Grund auf neu geschrieben wurde, obwohl laut der Sicherheitsfirma erhebliche Codes der beiden Android-Malware gefunden wurden, die sich gegenseitig überlagern, wobei ‚Hook‘ zusätzliche Funktionen im Vergleich zu den vorherigen hat.

Darüber hinaus erwähnt die Sicherheitsfirma, dass die Malware immer noch den Großteil des Ermac-Codes enthält, sodass sie immer noch Banking-Malware ist, obwohl einige nutzlose Teile im älteren Stamm gefunden wurden, was zeigt, dass der Code in großen Mengen wiederverwendet wird.

In diesem Sinne ist ‚Hook‘, die Android-Malware, eine weiterentwickelte Version von Ermac und hat umfangreiche Funktionen, die sie zu einer sehr gefährlichen Bedrohung für Android-Nutzer machen.

Eine der Funktionen, die ‚Hook‘ gegenüber Ermac hat, ist die WebSocket-Kommunikation, die zusätzlich zum HTTP-Verkehr kommt, der von Ermac umfangreich genutzt wird. Das verwendete Netzwerk ist weiterhin durch einen AES-256-CBC hartkodierten Schlüssel verschlüsselt.

Doch das ist noch nicht alles, das Hauptmerkmal der Malware ist das VNC, das es den Bedrohungsangreifern ermöglicht, in Echtzeit mit der Benutzeroberfläche des infizierten Smartphones zu kommunizieren. Dies ermöglicht der Malware, alles auf dem kompromittierten Gerät auszuführen, von persönlich identifizierbaren Informationen (PII) bis hin zu finanziellen Transaktionen.

Nun, die Android-Malware findet sich in der Liste der Malware, die in der Lage ist, ein Full Data Transfer Object (FDT) durchzuführen und eine vollständige Betrugskette von der PII-Exfiltration bis zu Transaktionen mit allen Zwischenschritten und ohne zusätzliche Kanäle auszuführen, sagte ThreatFabric.

Dies macht den Angriff schwierig, um Betrugserkennungssysteme zu erkennen, und dies sind neue Befehle, die die Malware ausführen kann, abgesehen von denen, die Ermac ähnlich sind.

• Start/Stop RAT.

• Führen Sie eine spezifische Wischgeste aus.

• Machen Sie einen Screenshot.

• Simulieren Sie einen Klick auf ein bestimmtes Textelement.

• Simulieren Sie einen Tastendruck wie (Home/Zurück/Neueste/Sperren/Powerdialog).

• Entsperren Sie das Gerät.

• Scrollen Sie nach oben und unten.

• Simulieren Sie einen langen Druck.

• Simulieren Sie einen Klick an einer bestimmten Koordinate.

• Setzen Sie den Zwischenablagewert auf ein UI-Element mit einem bestimmten Koordinatenwert.

• Simulieren Sie einen Klickwert auf ein UI-Element mit einem bestimmten Textwert.

• Setzen Sie ein UI-Element auf einen bestimmten Text.

Abgesehen von diesen Befehlen verwandelt ein Datei-Manager-Befehl die Malware in einen Datei-Manager, und die Angreifer erhalten eine Aufzeichnung aller im Datei-Manager gespeicherten Dateien und können die Datei ihrer Wahl herunterladen.

Nun, warten Sie, es gibt noch mehr; ein weiterer Befehl, den die Sicherheitsfirma gefunden hat, steht im Zusammenhang mit Whatsapp, der es der Malware ermöglicht, alle Nachrichten in Whatsapp zu protokollieren und den Angreifern sogar erlaubt, Nachrichten von dem Konto des Opfers zu senden.

Last but not least hilft ein Geolokalisierungs-Tracking-Mechanismus der Malware, den Standort des Opfers zu ermitteln, indem die Berechtigung ‚Zugriff auf genaue Standortdaten‘ ausgenutzt wird.

Dies sind die Länder, in denen Hook Nutzer von Banking-Apps ins Visier genommen hat – Spanien, Australien, Polen, Kanada, das Vereinigte Königreich, Frankreich, Italien, die Türkei, Portugal und die Vereinigten Staaten. Obwohl eine wichtige Sache, die hier zu beachten ist, dass ‚Hook‘ weltweit zielt.

Außerdem hat ThreatFabric alle Apps aufgelistet, die es ins Visier nimmt, für diejenigen, die interessiert sind.

Lesen: Hacker brechen in die Systeme von CircleCi über den infizierten 2FA-gestützten SSO des Ingenieurs ein