چیزی که هوک را از Ermac متمایز می کند، توانایی آن در استفاده از محاسبات شبکه مجازی (VNC) برای ربودن گوشی اندرویدی است. این نرمافزار میتواند ژستهای تند کشیدن مجازی را ارسال کند، اسکرول کند، اسکرینشات بگیرد و فشار کلید را شبیهسازی کند، از جمله فشار طولانی.
محققان می گویند که هوک به عنوان مدیر فایل نیز عمل می کند. هکرها می توانند از آن برای مشاهده تمام فایل های موجود در تلفن یا دانلود هر فایلی که به نظرشان ارزشمند است استفاده کنند. همچنین می تواند هر تصویری را در گوشی مشاهده یا دانلود کند. هوک حتی نیازی به استفاده از دستورات پوسته برای انجام exfiltration فایل ندارد. در عوض، از API های موجود اندروید برای سرقت فایل ها استفاده می کند. این قابلیت همراه با دسترسی آن به اطلاعات ردیابی GPS بلادرنگ، آن را به مجموعه ای دو وظیفه بانکی-تروجان/جاسوس افزار تبدیل می کند.
علیرغم ادعاهای نادرست DukeEugene مبنی بر نویسندگی (اگرچه TA کد اصلی Ermac را نوشت)، هوک بسیاری از ویژگی های جدید را برای خانواده بدافزارها به ارمغان می آورد. این شامل ارتباطات WebSocket است و ترافیک آن را با استفاده از یک کلید رمزگذاری شده AES-256-CBC رمزگذاری می کند.
به طور خلاصه: محققان امنیتی ThreatFabric یک بدافزار برنامه بانکی اندروید به نام “Hook” را کشف کردند. این برنامه به هکرها اجازه می دهد تا تلفن هدف را از راه دور کنترل کنند. بازیگران بد می توانند از آن برای سرقت داده ها، استخراج اطلاعات شناسایی شخصی (PII)، انجام تراکنش های مالی و موارد دیگر استفاده کنند.
یک بازیگر تهدید (TA) که توسط DukeEugene میرود، بدافزار را در وب تاریک میفروشد و ادعا میکند که او کد را «از ابتدا» نوشته است. با این حال، تجزیه و تحلیل کد TreatFabric نشان میدهد که این یک انشعابی از Ermac، یکی از خانوادههای بدافزار شناسایی شده در طبیعت است. در حالی که بیشتر کدها از تروجان بانکی معروف است، بقیه بیت ها و بخش هایی از برنامه های دیگر است که نشان می دهد هیچ افتخاری در بین سارقان وجود ندارد.
«با این ویژگی، هوک به جمع خانوادههای بدافزارهایی میپیوندد که قادر به انجام کامل DTO هستند [device take-over] ThreatFabric گفت: “تکمیل یک زنجیره کامل کلاهبرداری، از استخراج PII تا معامله، با تمام مراحل میانی، بدون نیاز به کانالهای اضافی.” برای بانکداران اندروید.”
اعتبار تصویر: ThreatFabric