19/09/23
Недавние исследования в области кибербезопасности выявили, что новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group, Джошуа Кэмп и Альберто Сегура, опубликовали технический анализ, в котором утверждают, что исходный код ERMAC был использован как основа для Hook.
Hook был впервые зафиксирован исследователями ThreatFabric в январе 2023 года, когда распространялся по модели MaaS с ценником $7,000 в месяц. Hook является творением автора вредоносного ПО, известного на киберпреступных форумах как DukeEugene. Он же, судя по всему, и является разработчиком ERMAC, пишут Securitylab.
Троянец Hook не просто копирует функции ERMAC, но и существенно расширяет их, поддерживая до 38 дополнительных команд. Основные функции ERMAC, а соответственно и Hook тоже, включают в себя отправку SMS, отображение фишинговых окон, извлечение списка установленных приложений и кражу секретных фраз для восстановления криптовалютных кошельков.
Однако Hook идёт ещё дальше, позволяя стримить изображение с экрана жертвы и взаимодействовать с пользовательским интерфейсом для полного контроля над устройством. Также троян способен похищать cookie-файлы, связанные с логинами Google, и распространяться посредством SMS.
Несмотря на различия, оба трояна могут регистрировать нажатия клавиш и злоупотреблять службами доступности Android для проведения атак, направленных на кражу учётных данных из более чем 700 приложений. Информация о целевых приложениях загружается с удалённого сервера.
19 апреля 2023 года проект Hook, похоже, перестал поддерживаться оригинальным автором, а 11 мая исходный код вредоноса был продан за $70,000 на одном из подпольных форумов. Вероятно, Hook продолжил своё развитие другими разработчиками, возможно даже под другим названием.
Большинство C2-серверов Hook и ERMAC, как сообщают исследователи, были расположены в России, Нидерландах, Великобритании, США, Германии, Франции, Корее, Японии.
Прекращение деятельности проекта Hook не означает исчезновение угрозы. Современный мир кибербезопасности постоянно меняется, и новые хакерские объединения могут легко возродить или модифицировать существующие вредоносные программы.
Именно поэтому исследователям и специалистам по кибербезопасности необходимо постоянно быть на страже и обновлять меры защиты для сопротивления эволюционирующим методам атак.
