Группировка, стоящая за банковскими троянами BlackRock и ERMAC для Android, выпустила еще одну вредоносную программу под названием «Hook», которая предоставляет новые возможности для доступа к файлам и создания удаленного интерактивного сеанса. Злоумышленники предлагают воспользоваться данным программным обеспечением всем желающим за «скромные» 7000 долларов в месяц.
Компания ThreatFabric — это компания, которая специализируется на исследовании и анализе мобильной безопасности. Они используют свои знания и инструменты, чтобы помочь клиентам защититься от угроз и атак.
Компания выпускает информационные отчеты об угрозах, способных повлиять на мобильные устройства, и предоставляет готовые решения для защиты от этих угроз.
» data-html=»true» data-original-title=»ThreatFabric»>ThreatFabric в своём отчете , охарактеризовала Hook как новое ответвление трояна ERMAC, обладающим всеми возможностями своего предшественника, но с добавлением инструментов удаленного доступа (
Средство удаленного администрирования (Remote Administration Tool, RAT) — инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
» data-html=»true» data-original-title=»RAT»>RAT). Таким образом, из-за функционала и схожей структуры исследователи отнесли Hook к семействам троянов Octo и Hydra.
На правой картинке — типичное объявление о продаже вредоноса
(цена гораздо скромнее, чем у Hook)
Большинство финансовых приложений, на которые нацелено вредоносное ПО, расположены в США, Испании, Австралии, Польше, Канаде, Турции, Великобритании, Франции, Италии и Португалии.
Троян Hook — разработка злоумышленника, известного как DukeEugene. Вирус представляет собой последнюю эволюцию ERMAC, в свою очередь основанную на трояне Cerberus. Эти вредоносы появились в 2020 и 2021 году.
«ERMAC всегда отставал от Hydra и Octo с точки зрения возможностей и функций», — сообщил Дарио Дурандо, исследователь ThreatFabric.
Объявление о продаже Hook и демонстрация его интерфейса
Как и другие подобные вредоносные программы для Android, Hook использует API-интерфейсы служб специальных возможностей Android для проведения оверлейных атак и сбора с устройств всевозможной конфиденциальной информации, такой как контакты, журналы вызовов, нажатия клавиш, токены двухфакторной аутентификации (Двухфакторная аутентификация (2FA) — это способ проверки личности пользователя с использованием двух различных этапов аутентификации, которые обеспечивают «двухслойную» защиту аккаунта от несанкционированного доступа. На первом этапе, как правило, запрашивается стандартная связка логин/пароль. На втором этапе, чаще всего, короткий код, полученный по SMS или электронной почте. Иногда на втором этапе используется USB-токен или биометрические данные человека.
Двухфакторная аутентификация надёжно защищает аккаунты в интернете от большинства уязвимостей.