Создатель нашумевших вирусов BlackRock и Ermac (атакуют ОС Android), анонсировал очередное опасное приложение. Троянское приложение Hook способен отправлять на управляющий сервер данные для аутентификации в банковских клиентах и криптовалютных кошельках. Подробности опубликовали специалисты ThreatFabric после проведенного расследования.
Известно, что Hook создан на базе вируса Ermac – в наличии все его возможности, однако добавлен и собственный функционал. Кроме прочего, появилась возможность получить полный контроль над мобильным устройством, а также выгрузить с него любые файлы.
Для организации доступа владелец использует модель по подписке, месячный абонемент обойдется в 7 тысяч долларов. Предложения уже можно встретить на соответствующих площадках в даркнете.
Отличительная особенность приложения заключается в наличии полноценного VNC-модуля. Данный компонент позволяет не просто получить доступ к Android, но и полноценно взаимодействовать с интерфейсом системы в режиме реального времени. По сути, взаимодействие аналогично легальной программе для удаленного доступа к ПК (AnyDesk и аналоги).
Для реализации функционала используется уже отработанная схема, которую используют многие создатели вредоносного ПО. В Android встроен инструмент Accessibility Services API, способный отслеживать события на экране и инициировать запуск новых событий. Это используется для открытия невидимого окна, который накладывается поверх остальных элементов интерфейса и окон других программ.
Это позволяет скрытно собирать данные, с которыми работает пользователь. Как уже упоминалось, такая схема уже доказала свою эффективность, однако ее распространенность является одновременно и недостатком. Начиная с Android 11 возможности Accessibility Service значительно урезаны, сделано это для противодействия атакам такого типа.
Также в троянское приложение интегрирован файловый менеджер, который позволяет оператору осуществлять навигацию по файлам и каталогам, загружая выбранные на внешний сервер. В качестве дополнительной опции есть функция определения текущего местоположения зараженного устройства.
Вирус Hook способен взаимодействовать с большим количеством банковских приложений, принадлежащих организациям в различных странах. Однако в приоритете банки на территории Португалии, США, Италии, Франции, Испании, Великобритании, Австралии, Турции и Канады.
Распространяется утилита в виде APK-файла, в большинстве случаев имитируется популярный обозреватель Google Chrome. Список используемых названий для файла – «com.yecomevusaso.pisifo», «com.damariwonomiwi.docebi» и «com.lojibiwawajinu.guna». Для распространения нередко используют тематические каналы Telegram, а также дропперы, которые удалось добавить в каталог Google Play.