Опасный банковский троян
Автор банковских троянов BlackRock и Ermac для мобильных устройств на базе операционной системы Android создал новую вредоносную программу Hook, предназначенную для кражи реквизитов доступа к банковским приложениям и криптовалютным кошелькам. Об этом сообщило издание The Hacker News со ссылкой на исследование ИБ-компании ThreatFabric.
Hook представляет собой форк другого банковского трояна – Ermac – и, как утверждает его разработчик, обладает всеми функциями предшественника, а также предлагает ряд новых. В частности, он позволяет загрузить любые файлы, хранящиеся на целевом Android-устройстве, а также удаленно его контролировать.
Доступ к Hook предоставляется по подписочной модели за немалые деньги – $7 тыс. в месяц. Приобрести вредоносную программу предлагают в даркнете.
Функции Hook
Ключевой особенностью нового вредоноса является наличие специального VNC-модуля, который позволяет оператору Hook взаимодействовать с пользовательским интерфейсом зараженного устройства в режиме реального времени. Другими словами, злоумышленник видит экран смартфона жертвы и может совершать от ее лица абсолютно любые действия.
Функциональность VNC в панели управления зараженными Hook устройствами
Как и другие Android-вредоносы с подобной функциональностью, Hook использует специальные возможности ОС (Accessibility Services API) для создания невидимого окна поверх окон легитимных приложений и сбора разнообразной ценной информации, такой как список контактов, история вызовов, токены двухфакторной аутентификации, сообщения в мессенджере WhatsApp.
Эта особенность вредоноса является его основным недостатком. У него, вероятно, возникнут трудности в работе на устройствах с Android 11, 12 и 13, поскольку для этих версий ОС Google ввела дополнительные ограничения на использования функций Accessibility Service,
Еще одна уникальная функция трояна – файловый менеджер, позволяет оператору получить список всех файлов на зараженном устройстве и скачать нужные.
Наконец, Hook обладает функциональностью, которая позволяет отслеживать местоположение жертвы с высокой точностью.
Широкий размах
Hook умеет работать с множеством банковских приложений, принадлежащих финансовым организациям по всему миру. Однако в первую очередь вредонос нацелен на клиентов банков в США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
Вредонос поддерживает английский, китайский и русские языки.
В настоящее время Hook распространяется в виде APK-файла и маскируется под браузер Google Chrome. Название пакета может быть одним из следующих: «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi», «com.yecomevusaso.pisifo».
Как отмечает The Hacker News, в доставку вредоноса можно также осуществлять при помощи фишинга, через Telegram-каналы или дропперы в магазине Google Play – приложения, обходящие механизмы защиты Google и предназначенные для загрузки на устройства жертв других вредоносных программ.
Развитие Ermac
Hook разработан человеком под ником DukeEugene и является модернизированной версией трояна Ermac, который впервые был замечен в сентябре 2021 г. Ermac, в свою очередь, базируется на вредоносе Cerberus, исходный код которого был опубликован в 2020 г.
В июне 2022 г. CNews писал о том, что Ermac обновился до версии 2.0 и увеличил количество атакуемых приложений с 378 до 467. Повысились и расценки на пользование им – с $3 тыс. до $5 тыс. в месяц.
