Киберпреступники продают вредоносное ПО ‘Hook’ для удаленного управления смартфонами на Android

В отчете ThreatFabric говорится, что киберпреступники продают вредоносное ПО для Android под названием ‘Hook’, которое, как они хвастаются, может удаленно контролировать смартфоны в реальном времени с помощью системы виртуального сетевого управления (VNC).

Для тех, кто не в курсе, виртуальное сетевое управление — это кроссплатформенная система совместного использования экрана для удаленного управления другим компьютером.

Далее, сообщается, что вредоносное ПО продвигается создателями Ermac; это также вредоносное ПО для Android, которое продается за 5000 долларов в месяц злоумышленникам, что, в свою очередь, помогает им красть информацию из банковских и крипто-приложений с помощью наложенных страниц входа.

Вредоносное ПО распространяется в виде APK для Google Chrome через следующие имена пакетов: “ com.lojbiwawajinu.guna ”, “ com.damaariwonomivi.docebi ” и “ com.yecomevusaso.pisifo ”.

Сказав это, создатель вредоносного ПО утверждает, что новый код вредоносного ПО ‘Hook’ был написан с нуля, хотя, согласно данным компании по безопасности, в кодах двух вредоносных программ для Android были найдены значительные части, которые накладываются друг на друга, при этом ‘Hook’ имеет дополнительные функции по сравнению с предыдущими.

Более того, компания по безопасности упоминает, что вредоносное ПО все еще содержит большую часть кода Ermac, поэтому это все еще банковское вредоносное ПО, хотя в старой версии все еще найдены некоторые бесполезные части, что показывает, что код повторно используется в больших объемах.

В этом смысле ‘Hook’, вредоносное ПО для Android, является эволюционной версией Ermac и имеет обширные функции, которые делают его очень опасной угрозой для пользователей Android.

Одна из функций, которой ‘Hook’ обладает по сравнению с Ermac, — это коммуникация WebSocket, которая добавляется к HTTP-трафику, широко используемому Ermac. Сеть по-прежнему зашифрована с помощью жестко закодированного ключа AES-256-CBC.

Хотя это еще не все, главная функция вредоносного ПО — это VNC, который позволяет злоумышленникам взаимодействовать с интерфейсом зараженного смартфона в реальном времени. Это позволяет вредоносному ПО выполнять любые действия на скомпрометированном устройстве, начиная от личной идентифицируемой информации (PII) и заканчивая денежными транзакциями.

Что ж, вредоносное ПО для Android попадает в список вредоносных программ, способных выполнять полную передачу данных (FDT) и осуществлять полный цикл мошенничества от экстракции PII до транзакций со всеми промежуточными шагами и без необходимости в дополнительных каналах, — сказал ThreatFabric.

Это делает атаку трудной для обнаружения механизмами оценки мошенничества, и это новые команды, которые вредоносное ПО может выполнять, помимо тех, которые аналогичны Ermac.

• Запустить/остановить RAT.

• Выполнить конкретный жест смахивания.

• Сделать скриншот.

• Стимулировать клик на конкретном текстовом элементе.

• Стимулировать нажатие клавиши, такой как (Домой/Назад/Недавние/Блокировка/Питание).

• Разблокировать устройство.

• Прокрутить вверх и вниз.

• Стимулировать длительное нажатие.

• Стимулировать клик по конкретным координатам.

• Установить значение буфера обмена для элемента пользовательского интерфейса с конкретным значением координат.

• Стимулировать клик по элементу пользовательского интерфейса с конкретным текстовым значением.

• Установить элемент пользовательского интерфейса на конкретный текст.

Помимо этих команд, команда файлового менеджера превращает вредоносное ПО в файловый менеджер, и злоумышленники получают запись всех файлов, хранящихся в файловом менеджере, и могут скачать файл по своему выбору.

Что ж, подождите, это еще не все; еще одна команда, которую нашла компания по безопасности, связана с Whatsapp, что позволяет вредоносному ПО регистрировать все сообщения в Whatsapp и даже позволяет злоумышленникам отправлять сообщения с аккаунта жертвы.

И последнее, но не менее важное, механизм отслеживания геолокации помогает вредоносному ПО получить доступ к местоположению жертвы, используя разрешение ‘Доступ к точному местоположению’.

Это страны, в которых Hook нацелился на пользователей банковских приложений — Испания, Австралия, Польша, Канада, Великобритания, Франция, Италия, Турция, Португалия и Соединенные Штаты. Хотя важно отметить, что ‘Hook’ нацеливается на пользователей по всему миру.

Кроме того, ThreatFabric перечислил все приложения, на которые оно нацеливается, для тех, кто заинтересован.

Читать: Хакеры взломали системы CircleCi через зараженный 2FA-бэкенд SSO