Μια νέα ανάλυση του Android banking trojan γνωστού ως Hook αποκάλυψε ότι βασίζεται στον προκάτοχό του που ονομάζεται ERMAC.
Το Hook καταγράφηκε πρώτη φορά από την ThreatFabric τον Ιανουάριο του 2023, περιγράφοντάς το ως μια “παραλλαγή του ERMAC” που προσφέρεται προς πώληση για 7.000 δολάρια το μήνα. Και οι δύο παραλλαγές είναι το αποτέλεσμα του έργου ενός συγγραφέα κακόβουλου λογισμικού που ονομάζεται DukeEugene.
Το Hook επεκτείνει τις λειτουργίες του ERMAC με περισσότερες δυνατότητες, υποστηρίζοντας έως και 38 πρόσθετες εντολές σε σύγκριση με το τελευταίο.
Οι βασικές λειτουργίες του ERMAC σχεδιάστηκαν για να αποστέλλει μηνύματα SMS, να εμφανίζει ένα phishing window πάνω από μια νόμιμη εφαρμογή, να εξάγει μια λίστα με εγκατεστημένες εφαρμογές, να συλλέγει μηνύματα SMS και να αποκτά φράσεις ανάκτησης για πολλά πορτοφόλια κρυπτονομισμάτων.
Από την άλλη πλευρά, το Hook πηγαίνει ένα βήμα παραπέρα κάνοντας stream την οθόνη του θύματος και αλληλεπιδρώντας με το user interface για να αποκτήσει πλήρη έλεγχο της μολυσμένης συσκευής, τραβώντας φωτογραφίες του θύματος με την εμπρόσθια κάμερα, συλλέγοντας cookies που σχετίζονται με τις συνεδρίες σύνδεσης στο Google και και κλέβοντας τους κωδικούς ανάκτησης από περισσότερα crypto wallets.
Μπορεί επίσης να στείλει ένα μήνυμα SMS σε πολλούς αριθμούς τηλεφώνου, διασπείροντας αποτελεσματικά το malware σε άλλους χρήστες.
Ανεξάρτητα από αυτές τις διαφορές, τόσο το Hook όσο και το ERMAC μπορούν να καταγράφουν τα πλήκτρα και να καταχρώνται τις υπηρεσίες προσβασιμότητας του Android για να πραγματοποιήσουν επιθέσεις overlay με σκοπό την εμφάνιση περιεχομένου πάνω από άλλες εφαρμογές και την κλοπή διαπιστευτηρίων από πάνω από 700 εφαρμογές. Η λίστα των εφαρμογών που θα επιτεθεί εξακολουθεί να λαμβάνεται δυναμικά μέσω αίτηματος προς ένα απομακρυσμένο διακομιστή.
Οι οικογένειες malware έχουν επίσης σχεδιαστεί για να παρακολουθούν συμβάντα στο πρόχειρο και να αντικαθιστούν το περιεχόμενο με ένα πορτοφόλι ελεγχόμενο από τους εισβολείς, εάν το θύμα αντιγράψει μια νόμιμη διεύθυνση πορτοφολιού.
Η πλειοψηφία των διακομιστών ελέγχου και ελέγχου (C2) των Hook και ERMAC βρίσκονται στη Ρωσία, ακολουθούμενη από την Ολλανδία, το Ηνωμένο Βασίλειο, τις Ηνωμένες Πολιτείες, τη Γερμανία, τη Γαλλία, την Κορέα και την Ιαπωνία.
Από τις 19 Απριλίου 2023, φαίνεται ότι το έργο Hook έχει κλείσει, σύμφωνα με μια ανάρτηση που κοινοποιήθηκε από τον DukeEugene, ο οποίος ισχυρίστηκε ότι θα έφευγε για μια “ειδική στρατιωτική επιχείρηση” και ότι η υποστήριξη για το λογισμικό θα παρείχε ένας άλλος ηθοποιός με το όνομα RedDragon μέχρι να εξαντληθεί η συνδρομή των πελατών.
Στη συνέχεια, στις 11 Μαΐου 2023, ο πηγαίος κώδικας για το Hook λέγεται ότι πουλήθηκε από τον RedDragon για 70.000 $ σε ένα υπόγειο φόρουμ. Εκτός από τη σύντομη διάρκεια ζωής του Hook, η ανάπτυξη έχει αυξήσει την πιθανότητα ότι άλλοι χάκερ θα μπορούσαν να αναλάβουν το έργο και να κυκλοφορήσουν νέες παραλλαγές στο μέλλον.
Η αποκάλυψη έρχεται καθώς ένας κακόβουλος παράγοντας China-nexus έχει συνδεθεί με μια εκστρατεία spyware Android που στοχεύει χρήστες στη Νότια Κορέα από τις αρχές Ιουλίου 2023.
Επιπλέον, το κακόβουλο λογισμικό (APK με όνομα πακέτου “com.example.middlerankapp”) εκμεταλλεύεται τις υπηρεσίες προσβασιμότητας για να παρακολουθεί τις εφαρμογές που χρησιμοποιούνται από τα θύματα και να αποτρέπει την απεγκατάσταση.
Περιέχει επίσης μια λειτουργία που επιτρέπει στο κακόβουλο λογισμικό να ανακατευθύνει εισερχόμενες κλήσεις σε έναν καθορισμένο αριθμό κινητού τηλεφώνου που ελέγχεται από τον επιτιθέμενο, να παρεμβάλλει μηνύματα SMS και να ενσωματώσει μια μη ολοκληρωμένη λειτουργία καταγραφής πλήκτρων, προδίδοντας ότι πιθανόν βρίσκεται σε ενεργή ανάπτυξη.
Οι συνδέσεις με την Κίνα προέρχονται από αναφορές στο Χονγκ Κονγκ στις πληροφορίες εγγραφής WHOIS για τον διακομιστή C2, καθώς και από την παρουσία αρκετών συμβολοσειρών κινεζικής γλώσσας, συμπεριλαμβανομένου του “中国共产党万岁”, στον πηγαίο κώδικα κακόβουλου λογισμικού, που μεταφράζεται σε “Ζήτω το Κομμουνιστικό Κόμμα Κίνας».
Πηγή πληροφοριών: thehackernews.com