Хакерски софтуер превзема и управлява напълно Android смартфони

Потребителите на смартфони с Android са изложени на риск от нов банков троянец
(снимка: CC0 Public Domain)

В тъмната мрежа започнаха продажбите на нов троянски кон Hook, който може да превземе напълно и да управлява чужд смартфон с операционна система Android. Хакерският инструмент атакува банкови приложения и крипто портфейли.

Новият злонамерен софтуер наследява функционалността от банковия троянец Ermac, но за разлика от него е в състояние напълно да подчини мобилното устройство на жертвата и да предостави на своя оператор възможности за дистанционно управление. Желаещите да закупят Hook ще трябва да платят до $7000 за един месец използване.

Генезисът на Hook

Hook идва от DukeEugene – автор на банковите троянци BlackRock и Ermac за мобилни устройства под Android – и е предназначен да краде данни за достъп до банкови приложения и портфейли за криптовалута, съобщи The Hacker News, позовавайки се на проучване на компанията за киберсигурност ThreatFabric.

Ermac беше засечен за първи път през септември 2021 г. и е базиран на зловредния софтуер Cerberus, чийто изходен код бе публикуван през 2020 г. През юни м.г. разработчикът актуализира Ermac до версия 2.0 и увеличи броя на атакуваните приложения от 378 на 467. Тарифите за използването му също се покачиха – от $3000 на $5000 на месец.

Подобрен и много по-опасен

Освен че има всички функции на своя предшественик, Hook предлага и редица нови възможности. По-специално, троянецът позволява на хакерите да изтеглят всякакви файлове, съхранявани на целевото устройство с Android, както и да го контролират от разстояние.

Основната характеристика на новия зловреден софтуер е наличието на специален VNC модул, който позволява на оператора на Hook да взаимодейства с потребителския интерфейс на заразеното устройство в реално време. С други думи, нападателят вижда екрана на смартфона на жертвата и може да извърши абсолютно всяко действие от нейно име.

Подобно на друг злонамерен софтуер за Android, Hook използва специални възможности на системата като Accessibility Services API, за да създаде невидим прозорец върху легитимните прозорци на приложения и да събира различна информация, вкл. списък с контакти, история на обажданията, двуфакторни токени за удостоверяване, WhatsApp съобщения.

Тази функция на зловредният софтуер е и основният му недостатък. Вероятно Hook ще има затруднения при работа на устройства с Android 11, 12 и 13, тъй като Google въведе допълнителни ограничения върху използването на Accessibility Services API за тези версии.

Друга уникална функция на троянския кон Hook е файловият мениджър, който позволява на оператора да получи списък с всички файлове на заразеното устройство и да изтегли необходимите. И накрая, Hook има функция за проследяване на местоположението на жертвата с висока точност.

Банковите клиенти на прицел

Hook може да работи с много банкови приложения на финансови институции по целия свят. Злонамереният софтуер обаче е насочен предимно към банкови клиенти в САЩ, Испания, Австралия, Полша, Канада, Турция, Обединеното кралство, Франция, Италия и Португалия. Поддържа английски, китайски и руски език.

В момента Hook се разпространява под формата на APK файл, маскиран като браузър Chrome. Името на пакета може да бъде едно от следните: com.lojibiwawajinu.guna, com.damariwonomiwi.docebi, com.damariwonomiwi.docebi, com.yecomevusaso.pisifo.

Зловредният софтуер може да бъде доставен и с помощта на фишинг, чрез канали на Telegram или т.нар. droper приложения в магазина Google Play (приложения, които заобикалят защитните механизми на Google и са предназначени за зареждане на зловреден софтуер на устройствата на жертвите).