Akter koji stoji iza BlackRock i ERMAC Android bankarskih trojanaca pokrenuo je još jedan maliciozni softver za iznajmljivanje pod nazivom Hook koji uvodi nove mogućnosti za pristup podacima pohranjenim na uređajima i kreiranje interaktivne sesije na daljinu.
ThreatFabric, u izvještaju koji je podijeljen sa The Hacker News, okarakterizirao je Hook kao novi ERMAC fork koji se oglašava za prodaju za 7.000 dolara mjesečno, uz „sve mogućnosti svog prethodnika“.
Osim toga, on takođe dodaje svom arsenalu mogućnosti alata za daljinski pristup (RAT), pridružujući se redovima porodica kao što su Octo i Hydra , koje su sposobne da izvrše potpunu preuzimanje uređaja (DTO) i kompletiraju lanac prevare, od PII eksfiltracije do transakcije, sa svim međukoracima, bez potrebe za dodatnim kanalima”, saopštila je holandska firma za sajber bezbjednost.
Većina finansijskih aplikacija koje cilja maliciozni softver nalazi se u SAD-u, Španiji, Australiji, Poljskoj, Kanadi, Turskoj, Velikoj Britaniji, Francuskoj, Italiji i Portugalu.
Hook je djelo aktera poznatog kao DukeEugene i predstavlja najnoviju evoluciju ERMAC-a, koja je prvi put otkrivena u septembru 2021. i zasnovana je na drugom trojancu po imenu Cerberus čiji je izvorni kod procurio 2020. godine.
„ERMAC je oduvijek bio iza Hydre i Octo-a u smislu mogućnosti i karakteristika“, rekao je istraživač ThreatFabric Dario Durando za Hacker News putem email-a. “Ovo je poznato i među akterima prijetnji, kojima su ove dvije porodice draže od ERMAC-a.”
„Nedostatak neke vrste RAT mogućnosti je veliki problem za modernog Android bankara, jer ne pruža mogućnost da izvrši preuzimanje uređaja (DTO), što je metodologija prevare koja će najvjerovatnije biti uspješna i neće biti otkrivena pomoću mehanizama za ocjenjivanje prijevara ili analitičara prevare. To je najvjerovatnije ono što je pokrenulo razvoj ove nove varijante malicioznog softvera.”
Poput drugih sličnih malicioznih programa za Android, maliciozni softver zloupotrebljava API-je Androidovih usluga pristupačnosti kako bi izvršio napade preklapanja i prikupio sve vrste osjetljivih informacija kao što su kontakti, evidencije poziva, pritisaka na tipke, tokeni za dvofaktornu autentifikaciju (2FA), pa čak i WhatsApp poruke.
Također ima proširenu listu aplikacija koje uključuju ABN AMRO i Barclays, dok se sami maliciozni uzorci maskiraju kao web pretraživač Google Chrome kako bi naveli korisnike koji ništa ne sumnjaju da preuzmu maliciozni softver:
- com.lojibiwawajinu.guna
- com.damariwonomiwi.docebi
- com.yecomevusaso.pisifo
Među ostalim glavnim karakteristikama koje treba dodati Hook-u je mogućnost daljinskog pregleda i interakcije sa ekranom zaraženog uređaja, dobijanja datoteka, izdvajanja početnih fraza iz kripto novčanika i praćenja lokacije telefona, brisanjem granice između špijunskog softvera i bankarskog malicioznog softvera.
ThreatFabric je rekao da su Hook artefakti uočeni do sada u fazi testiranja, ali napominje da se mogu isporučiti putem phishing kampanja, Telegram kanala ili u obliku dropper aplikacija u Google Play Store.
“Glavni nedostatak stvaranja novog malicioznog softvera obično je pridobijanje povjerenja drugih aktera, ali sa statusom DukeEugenea među kriminalcima, vrlo je vjerovatno da to neće biti problem za Hook”, rekao je Durando.
Izvor: The Hacker News.