23/01/23
Группировка, стоящая за банковскими троянами BlackRock и ERMAC для Android, выпустила еще одну вредоносную программу под названием «Hook», которая предоставляет новые возможности для доступа к файлам и создания удаленного интерактивного сеанса. Это передает Securitylab.
Злоумышленники предлагают воспользоваться данным программным обеспечением всем желающим за «скромные» 7000 долларов в месяц.
Компания ThreatFabric в своём отчете , охарактеризовала Hook как новое ответвление трояна ERMAC, обладающим всеми возможностями своего предшественника, но с добавлением инструментов удаленного доступа (RAT). Таким образом, из-за функционала и схожей структуры исследователи отнесли Hook к семействам троянов Octo и Hydra.
Большинство финансовых приложений, на которые нацелено вредоносное ПО, расположены в США, Испании, Австралии, Польше, Канаде, Турции, Великобритании, Франции, Италии и Португалии.
Троян Hook — разработка злоумышленника, известного как DukeEugene. Вирус представляет собой последнюю эволюцию ERMAC, в свою очередь основанную на трояне Cerberus. Эти вредоносы появились в 2020 и 2021 году.
«ERMAC всегда отставал от Hydra и Octo с точки зрения возможностей и функций», — сообщил Дарио Дурандо, исследователь ThreatFabric.
Как и другие подобные вредоносные программы для Android, Hook использует API-интерфейсы служб специальных возможностей Android для проведения оверлейных атак и сбора с устройств всевозможной конфиденциальной информации, такой как контакты, журналы вызовов, нажатия клавиш, токены двухфакторной аутентификации (2FA) и даже сообщения из мессенджеров.
Среди других основных функций, которые добавлены в Hook — возможность удаленного просмотра и взаимодействия с экраном зараженного устройства, получения файлов, извлечения кодовых фраз криптокошельков и отслеживания местоположения смартфона. Такого рода функционал стирает грань между шпионским и банковским вредоносным ПО.
