بدافزار جدید با نام «Hook» امکان سرقت و جاسوسی بی‌درنگ از دستگاه‌های اندرویدی را فراهم می‌کند

چیزی که هوک را از Ermac متمایز می کند، توانایی آن در استفاده از محاسبات شبکه مجازی (VNC) برای ربودن گوشی اندرویدی است. این نرم‌افزار می‌تواند ژست‌های تند کشیدن مجازی را ارسال کند، اسکرول کند، اسکرین‌شات بگیرد و فشار کلید را شبیه‌سازی کند، از جمله فشار طولانی.

اعتبار تصویر: ThreatFabric



منبع

در مورد کاهش، همیشه بهداشت ایمنی را رعایت کنید. از دانلود نرم افزار خارج از فروشگاه Google Play یا سایر منابع قابل اعتماد خودداری کنید. همچنین، هوک برای به دست آوردن امتیازات ادمین مجوز دسترسی می‌خواهد، بنابراین مراقب برنامه‌هایی باشید که این نوع دسترسی را درخواست می‌کنند.

یک بازیگر تهدید (TA) که توسط DukeEugene می‌رود، بدافزار را در وب تاریک می‌فروشد و ادعا می‌کند که او کد را «از ابتدا» نوشته است. با این حال، تجزیه و تحلیل کد TreatFabric نشان می‌دهد که این یک انشعابی از Ermac، یکی از خانواده‌های بدافزار شناسایی شده در طبیعت است. در حالی که بیشتر کدها از تروجان بانکی معروف است، بقیه بیت ها و بخش هایی از برنامه های دیگر است که نشان می دهد هیچ افتخاری در بین سارقان وجود ندارد.

«با این ویژگی، هوک به جمع خانواده‌های بدافزارهایی می‌پیوندد که قادر به انجام کامل DTO هستند [device take-over] ThreatFabric گفت: “تکمیل یک زنجیره کامل کلاهبرداری، از استخراج PII تا معامله، با تمام مراحل میانی، بدون نیاز به کانال‌های اضافی.” برای بانکداران اندروید.”

محققان می گویند که هوک به عنوان مدیر فایل نیز عمل می کند. هکرها می توانند از آن برای مشاهده تمام فایل های موجود در تلفن یا دانلود هر فایلی که به نظرشان ارزشمند است استفاده کنند. همچنین می تواند هر تصویری را در گوشی مشاهده یا دانلود کند. هوک حتی نیازی به استفاده از دستورات پوسته برای انجام exfiltration فایل ندارد. در عوض، از API های موجود اندروید برای سرقت فایل ها استفاده می کند. این قابلیت همراه با دسترسی آن به اطلاعات ردیابی GPS بلادرنگ، آن را به مجموعه ای دو وظیفه بانکی-تروجان/جاسوس افزار تبدیل می کند.

بخونید:  انتظار می رود فروش مصرف کننده CPU و GPU AMD در سال آینده کاهش یابد

به طور خلاصه: محققان امنیتی ThreatFabric یک بدافزار برنامه بانکی اندروید به نام “Hook” را کشف کردند. این برنامه به هکرها اجازه می دهد تا تلفن هدف را از راه دور کنترل کنند. بازیگران بد می توانند از آن برای سرقت داده ها، استخراج اطلاعات شناسایی شخصی (PII)، انجام تراکنش های مالی و موارد دیگر استفاده کنند.

علیرغم ادعاهای نادرست DukeEugene مبنی بر نویسندگی (اگرچه TA کد اصلی Ermac را نوشت)، هوک بسیاری از ویژگی های جدید را برای خانواده بدافزارها به ارمغان می آورد. این شامل ارتباطات WebSocket است و ترافیک آن را با استفاده از یک کلید رمزگذاری شده AES-256-CBC رمزگذاری می کند.

قربانیان بدافزار (برنامه‌های بانکی) گسترده و گسترده هستند و ایالات متحده، استرالیا، کانادا، بریتانیا و فرانسه همگی در ده هدف اول گزارش شده‌اند. با این حال، ThreatFabric می‌گوید که فهرست کشورهای خارج از ده کشور برتر، گسترده است و این مناطق تنها کمی پایین‌تر از رتبه دهم هستند. محققان لیست کاملی از برنامه های هدف و نام بسته های مرتبط با هوک را در انتهای پست وبلاگ خود ارسال کردند. این مقاله همچنین دارای تمام پیچ و مهره های فنی برای علاقه مندان است.