چیزی که هوک را از Ermac متمایز می کند، توانایی آن در استفاده از محاسبات شبکه مجازی (VNC) برای ربودن گوشی اندرویدی است. این نرمافزار میتواند ژستهای تند کشیدن مجازی را ارسال کند، اسکرول کند، اسکرینشات بگیرد و فشار کلید را شبیهسازی کند، از جمله فشار طولانی.
اعتبار تصویر: ThreatFabric
در مورد کاهش، همیشه بهداشت ایمنی را رعایت کنید. از دانلود نرم افزار خارج از فروشگاه Google Play یا سایر منابع قابل اعتماد خودداری کنید. همچنین، هوک برای به دست آوردن امتیازات ادمین مجوز دسترسی میخواهد، بنابراین مراقب برنامههایی باشید که این نوع دسترسی را درخواست میکنند.
یک بازیگر تهدید (TA) که توسط DukeEugene میرود، بدافزار را در وب تاریک میفروشد و ادعا میکند که او کد را «از ابتدا» نوشته است. با این حال، تجزیه و تحلیل کد TreatFabric نشان میدهد که این یک انشعابی از Ermac، یکی از خانوادههای بدافزار شناسایی شده در طبیعت است. در حالی که بیشتر کدها از تروجان بانکی معروف است، بقیه بیت ها و بخش هایی از برنامه های دیگر است که نشان می دهد هیچ افتخاری در بین سارقان وجود ندارد.
«با این ویژگی، هوک به جمع خانوادههای بدافزارهایی میپیوندد که قادر به انجام کامل DTO هستند [device take-over] ThreatFabric گفت: “تکمیل یک زنجیره کامل کلاهبرداری، از استخراج PII تا معامله، با تمام مراحل میانی، بدون نیاز به کانالهای اضافی.” برای بانکداران اندروید.”
محققان می گویند که هوک به عنوان مدیر فایل نیز عمل می کند. هکرها می توانند از آن برای مشاهده تمام فایل های موجود در تلفن یا دانلود هر فایلی که به نظرشان ارزشمند است استفاده کنند. همچنین می تواند هر تصویری را در گوشی مشاهده یا دانلود کند. هوک حتی نیازی به استفاده از دستورات پوسته برای انجام exfiltration فایل ندارد. در عوض، از API های موجود اندروید برای سرقت فایل ها استفاده می کند. این قابلیت همراه با دسترسی آن به اطلاعات ردیابی GPS بلادرنگ، آن را به مجموعه ای دو وظیفه بانکی-تروجان/جاسوس افزار تبدیل می کند.
به طور خلاصه: محققان امنیتی ThreatFabric یک بدافزار برنامه بانکی اندروید به نام “Hook” را کشف کردند. این برنامه به هکرها اجازه می دهد تا تلفن هدف را از راه دور کنترل کنند. بازیگران بد می توانند از آن برای سرقت داده ها، استخراج اطلاعات شناسایی شخصی (PII)، انجام تراکنش های مالی و موارد دیگر استفاده کنند.
علیرغم ادعاهای نادرست DukeEugene مبنی بر نویسندگی (اگرچه TA کد اصلی Ermac را نوشت)، هوک بسیاری از ویژگی های جدید را برای خانواده بدافزارها به ارمغان می آورد. این شامل ارتباطات WebSocket است و ترافیک آن را با استفاده از یک کلید رمزگذاری شده AES-256-CBC رمزگذاری می کند.
قربانیان بدافزار (برنامههای بانکی) گسترده و گسترده هستند و ایالات متحده، استرالیا، کانادا، بریتانیا و فرانسه همگی در ده هدف اول گزارش شدهاند. با این حال، ThreatFabric میگوید که فهرست کشورهای خارج از ده کشور برتر، گسترده است و این مناطق تنها کمی پایینتر از رتبه دهم هستند. محققان لیست کاملی از برنامه های هدف و نام بسته های مرتبط با هوک را در انتهای پست وبلاگ خود ارسال کردند. این مقاله همچنین دارای تمام پیچ و مهره های فنی برای علاقه مندان است.