サイバー犯罪者がスマートフォンのリモートコントロール用の‘Hook’ Androidマルウェアを販売

サイバーセキュリティ

ThreatFabricの報告によると、‘Hook’という名前のAndroidマルウェアがサイバー犯罪者によって販売されており、彼らはこれを使用してリアルタイムでスマートフォンをリモートコントロールできると自慢しています。

知らない方のために、Virtual Network Computingは、別のコンピュータをリモートで制御するためのクロスプラットフォームの画面共有システムです。

次に、マルウェアはErmacの製作者によって宣伝されていると言われており、攻撃者に対して月額5,000ドルで販売されており、これにより彼らはオーバーレイされたログインページを使用して銀行および暗号アプリから情報を盗むことができます。

このマルウェアは、これらのパッケージ名「 com.lojbiwawajinu.guna 」、「 com.damaariwonomivi.docebi 」、「 com.yecomevusaso.pisifo 」を介してGoogle Chrome APKとして配布されています。

そう言われている中で、マルウェアの作成者は新しいマルウェア‘Hook’のコードがゼロから書かれたと主張していますが、セキュリティ会社によると、2つのAndroidマルウェアの実質的なコードが見つかり、‘Hook’は前者に対して追加機能を持っています。

さらに、セキュリティ会社は、マルウェアが依然としてほとんどのErmacコードを含んでいるため、依然として銀行マルウェアであると述べていますが、古い株に見られるいくつかの無駄な部分があるため、コードが大量に再利用されていることを示しています。

その意味で、‘Hook’はErmacの進化版であり、Androidユーザーにとって非常に危険な脅威となる広範な機能を持っています。

‘Hook’がErmacに対して持つ機能の1つは、HTTPトラフィックに加えてWebSocket通信があることです。使用されるネットワークは、AES-256-CBCのハードコードされたキーによって暗号化されています。

それだけではなく、マルウェアの主な機能はVNCであり、これにより脅威攻撃者は感染したスマートフォンのインターフェースとリアルタイムで通信できます。これにより、マルウェアは個人識別情報（PII）から金銭取引まで、妥協されたデバイス上であらゆる操作を実行できます。

Hookの作成者がVirtual Network Computingシステムを宣伝

さて、Androidマルウェアは、フルデータ転送オブジェクト（FDT）を実行し、PIIの抽出から取引までの完全な詐欺チェーンを実行できるマルウェアのリストに入っています。ThreatFabricによれば、すべての中間ステップを経て、追加のチャネルを必要としません。

これにより、攻撃は詐欺スコアリングメカニズムを検出するのが難しくなり、マルウェアが実行できる新しいコマンドが、Ermacに類似したものとは異なることが示されています。

これらのコマンドに加えて、ファイルマネージャーコマンドはマルウェアをファイルマネージャーに変え、攻撃者はファイルマネージャーに保存されているすべてのファイルの記録を取得し、好みのファイルをダウンロードします。

さて、まだあります。セキュリティ会社が見つけた別のコマンドはWhatsappに関連しており、これによりマルウェアはWhatsappのすべてのメッセージを記録し、攻撃者が被害者のアカウントからメッセージを送信することを可能にします。

最後に、位置情報追跡メカニズムは、‘Access Fine Location’の権限を悪用することで、マルウェアが被害者の位置を把握するのを助けます。

被害者のマルウェアによる正確な位置追跡

これらは、Hookが銀行アプリユーザーをターゲットにした国です - スペイン、オーストラリア、ポーランド、カナダ、イギリス、フランス、イタリア、トルコ、ポルトガル、アメリカ合衆国。ただし、ここで重要な点は、‘Hook’が世界中をターゲットにしていることです。

Androidマルウェアによってターゲットにされた国ごとの銀行アプリ

また、ThreatFabricは、興味のある方のためにターゲットにしているすべてのアプリをリストアップしています。

読む: ハッカーがエンジニアの感染した2FAバックアップSSOを介してCircleCiのシステムに侵入