Εγκληματίες του κυβερνοχώρου πωλούν τώρα ένα νέο Android malware με την ονομασία “Hook“, το οποίο, όταν κατέβει στην κινητή συσκευή σας, έχει τη δυνατότητα να την καταλάβει εξ αποστάσεως σε πραγματικό χρόνο μέσω του VNC module (virtual network computing).
Το κακόβουλο λογισμικό Hook προωθείται από τον δημιουργό του Ermac, ενός Android banking trojan που βοηθά τους εγκληματίες του κυβερνοχώρου να κλέψουν credentials από περισσότερες από 467 τραπεζικές και crypto εφαρμογές.
Ο δημιουργός του Ermac ισχυρίζεται ότι το νέο Android malware Hook γράφτηκε από το μηδέν. Ωστόσο, οι ερευνητές της ThreatFabric αμφισβητούν αυτούς τους ισχυρισμούς, και υποστηρίζουν ότι ενώ το Hook έχει κάποια extra χαρακτηριστικά, μοιράζεται μέρος του κώδικά του με το προγενέστερο Ermac.
Δείτε επίσης: Predator inside story: Τα SMS το κλειδί στην έρευνα για τις υποκλοπές
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
Η ThreatFabric παρατήρησε ότι το Hook περιέχει το μεγαλύτερο μέρος της βάσης κώδικα του Ermac, επομένως είναι κι αυτό ένα banking trojan.
Android malware Hook
Το Hook είναι μια εξέλιξη του Ermac, προσφέροντας ένα εκτεταμένο σύνολο δυνατοτήτων που το καθιστούν πιο επικίνδυνη απειλή για τους χρήστες με συσκευές Android.
Ένα νέο χαρακτηριστικό του Hook σε σύγκριση με το Ermac είναι η εισαγωγή WebSocket communication που προστίθεται στο HTTP traffic που χρησιμοποιείται αποκλειστικά από το Ermac. Το network traffic κρυπτογραφείται μέσω ενός AES-256-CBC hardcoded key.
Ωστόσο, το χαρακτηριστικό που ξεχωρίζει είναι το “VNC“. Το Virtual Network Computing (VNC) είναι ένα συγκεκριμένo implementation ενός screen sharing app, που παρέχει απομακρυσμένο έλεγχο της συσκευής. Ωστόσο, οι φορείς απειλών έχουν αρχίσει να χρησιμοποιούν αυτόν τον όρο για να υποδείξουν οποιοδήποτε είδος Remote Access Tool (RAT) feature. Στην περίπτωση του Hook, το VNC παρέχει στους κακόβουλους φορείς άμεση αλληλεπίδραση με το περιβάλλον εργασίας χρήστη μιας παραβιασμένης συσκευής σε πραγματικό χρόνο.
Αυτό το χαρακτηριστικό παρέχει στους χειριστές του Hook τη δυνατότητα να κάνουν οτιδήποτε στη συσκευή-στόχο, όπως εξαγωγή προσωπικών δεδομένων ή εκτέλεση χρηματικών συναλλαγών.
“Με αυτήν τη δυνατότητα, το Hook εντάσσεται στην τάξη των οικογενειών malware που μπορούν να εκτελέσουν πλήρες DTO και να ολοκληρώσουν μια πλήρη αλυσίδα απάτης, από την εξαγωγή PII έως τη συναλλαγή, με όλα τα ενδιάμεσα βήματα, χωρίς την ανάγκη πρόσθετων καναλιών“, προειδοποιεί η ThreatFabric.
Δείτε επίσης: PayPal: Παραβιάστηκαν account μέσω επίθεσης credential stuffing
“Αυτό το είδος λειτουργίας είναι πολύ πιο δύσκολο να εντοπιστεί από μηχανές μέτρησης απάτης“.
Ωστόσο, αξίζει να σημειωθεί ότι το VNC module του Android malware Hook απαιτεί πρόσβαση στην Υπηρεσία Προσβασιμότητας για να λειτουργήσει, κάτι που μπορεί να είναι δύσκολο να το αποκτήσει σε συσκευές που τρέχουν Android 11 ή νεότερη έκδοση.
Σύμφωνα με τους ερευνητές, το Hook περιλαμβάνει τις εντολές του Ermac, αλλά είναι εξοπλισμένο και με νέες που του επιτρέπουν να εκτελέσει τις ακόλουθες ενέργειες:
- Εκκίνηση/διακοπή RAT
- Εκτέλεση συγκεκριμένου swipe gesture
- Λήψη screenshot
- Προσομοίωση κλικ σε συγκεκριμένο στοιχείο κειμένου
- Προσομοίωση πατήματος πλήκτρου (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
- Ξεκλείδωμα συσκευής
- Κύλιση προς τα πάνω/κάτω
- και πολλά άλλα.
Επιπλέον, υπάρχει μια εντολή “File Manager” που μετατρέπει τo malware σε διαχειριστή αρχείων, παρέχοντας στους δράστες πρόσβαση σε έναν πλήρη κατάλογο όλων των αποθηκευμένων αρχείων και επιτρέποντάς τους να κατεβάζουν όποια έγγραφα θέλουν.
Η ThreatFabric αποκάλυψε και μια άλλη σημαντική εντολή, η οποία επιτρέπει στο Hook Android malware να καταγράφει όλα τα μηνύματα στο WhatsApp και δίνει τη δυνατότητα στους επιτιθέμενους να στέλνουν μηνύματα μέσω του λογαριασμού του χρήστη.
Τέλος, υπάρχει ένα σύστημα γεωγραφικού εντοπισμού που αξιοποιεί την άδεια “Access Fine Location” και επιτρέπει στους χειριστές του Hook να γνωρίζουν την ακριβή θέση του θύματος.
Δείτε επίσης: MailChimp: Νέα παραβίαση ασφαλείας των υπαλλήλων της
Στόχοι του Hook malware
Οι τραπεζικές εφαρμογές-στόχοι του Hook επηρεάζουν τους χρήστες στις Ηνωμένες Πολιτείες, τον Καναδά, την Αυστραλία, την Ισπανία, την Πολωνία, την Τουρκία, το Ηνωμένο Βασίλειο, τη Γαλλία, την Ιταλία και την Πορτογαλία.
Η ThreatFabric έχει απαριθμήσει όλες τις εφαρμογές που στοχεύει το Hook στην αναφορά της.
Προς το παρόν, το Hook διανέμεται ως Google Chrome APK με package names “com.lojibiwawajinu.guna”, “com.damariwonomiwi.docebi”, “com.damariwnomiwi.docebi” και “com.yecomevusaso.pisifo”, αλλά Φυσικά, αυτό μπορεί να αλλάξει ανά πάσα στιγμή.
Τα Android malware αποτελούν συχνή απειλή σήμερα και χρησιμοποιούνται συνήθως για να κλέψουν προσωπικές πληροφορίες, να αποκτήσουν πρόσβαση στους τραπεζικούς σας λογαριασμούς ή και να πάρουν τον πλήρη έλεγχο μιας συσκευής. Γνωρίζοντας τι είναι και πώς λειτουργεί το κακόβουλο λογισμικό Android, οι χρήστες μπορούν να λάβουν μέτρα, όπως η λήψη εφαρμογών μόνο από αξιόπιστες πηγές και η τακτική ενημέρωση του λειτουργικού τους συστήματος, προκειμένου να μειώσουν τον κίνδυνο μόλυνσης.
Πηγή: www.bleepingcomputer.com