Sa novim Android trojancem, hakeri mogu daljinski kontrolisati vaš telefon

Mobilni telefoni, 25.01.2023, 10:30 AM

Sajber kriminalci koji stoje iza poznatih Android bankarskih trojanaca BlackRock i ERMAC sada nude još jedan malver pod nazivom Hook, za koji kažu da može daljinski da preuzme kontrolu nad mobilnim telefonima u realnom vremenu. Istraživači iz ThreatFabrica koji su prvi primetili novi malver kažu da se on trenutno nudi po ceni od 7.000 dolara mesečno.

Većina aplikacija banaka koje cilja ovaj malver koristi se u SAD, Španiji, Australiji, Poljskoj, Kanadi, Turskoj, Velikoj Britaniji, Francuskoj, Italiji i Portugaliji, ali opseg ciljanih aplikacija malvera zapravo pokriva ceo svet.

Hook je delo aktera pretnji poznatog kao DukeEugene i praktično je naslednik ERMAC-a koji je otkriven u septembru 2021. ERMAC koji se iznajmljuje po ceni od 5000 dolara mesečno, baziran je na drugom trojancu po imenu Cerberus čiji je izvorni kod procurio 2020. godine. ERMAC kupcima omogućava krađu akreditiva iz 467 aplikacija banaka i kripto aplikacija preko lažnih stranica za prijavljivanje koje prekrivaju ciljane aplikacije.

Iako autor Hooka tvrdi da je novi malver pisan od nule, i iako ima nekoliko dodatnih funkcija u poređenju sa ERMAC-om, istraživači iz ThreatFabrica osporavaju ove tvrdnje i kažu da su videli značajna preklapanja koda dva malvera.

„ERMAC je uvek bio iza malvera Hydra i Octo u pogledu mogućnosti i karakteristika“, rekao je istraživač ThreatFabrica Dario Durando, koji kaže da su zbog toga sajber kriminalci uvek više voleli ova dva malvera od ERMAC-a.

Nedostatak mogućnosti koje ima RAT (Remote Access Trojan) je glavni problem modernih Android bankarskih trojanaca, jer ne pružaju mogućnost da se izvrši preuzimanje uređaja, što je garancija da će prevara najverovatnije biti uspešna i da neće biti otkrivena. To je najverovatnije ono što je pokrenulo razvoj ovog novog malvera.

Iako je očigledni naslednik ERMAC-a, Hook nudi mnogo više mogućnosti koje ga čine opasnijim za korisnike Androida.

Najvažnija novina je VNC (Virtual Network Computing) modul koji hakerima daje mogućnost interakcije sa korisničkim interfejsom kompromitovanog uređaja u realnom vremenu. Ovo im omogućava da izvrše bilo koju radnju na zaraženom uređaju, što ga čini sličnim gore pomenutim malverima Hydra i Octa.

Međutim, Hookov VNC modul zahteva pristup usluzi pristupačnosti Androida što bi malver teško mogao da dobije na uređajima koji koriste Android 11 ili novijim uređajima.

Hook zloupotrebljava usluge pristupačnosti Androida da bi izvršio napade preklapanja i prikupio sve vrste osetljivih informacija kao što su kontakti, evidencije poziva, pritisci na tastere, tokeni za dvofaktornu autentifikaciju (2FA), pa čak i WhatsApp poruke. Malver čak omogućava hakerima da šalju poruke preko naloga žrtve.

Hook ima i proširenu listu ciljanih aplikacija, a sam malver se maskira kao veb pregledač Google Chrome da bi prevario korisnike da ga preuzmu. Hook se u ovom trenutku distribuira kao Google Chrome APK pod nazivima "com.lojibiwawajinu.guna", "com.damariwonomiwi.docebi", "com.damariwonomiwi.docebi" i "com.yecomevusaso.pisifo", ali ovo se može promeniti u svakom trenutku.

Među glavnim karakteristikama Hooka je mogućnost daljinskog pregleda i interakcije sa ekranom zaraženog uređaja, pristup fajlovima, izdvajanja seed fraza iz kripto novčanika i praćenja precizne lokacije telefona, zbog čega je ovaj malver nešto između špijunskog softvera i bankarskog malvera .

ThreatFabric je rekao da su uzorci Hooka koji su do sada primećeni u fazi testiranja, ali da se mogu isporučiti putem fišing kampanja, Telegram kanala ili u obliku dropper aplikacija u Google Play prodavnici.

„Glavni nedostatak stvaranja novog malvera obično je sticanje dovoljno poverenja drugih aktera, ali sa statusom DukeEugenea među kriminalcima, vrlo je verovatno da to neće biti problem za Hook“, rekao je Durando.

Naslovna fotografija: Ayşe İpek, Pexels