網絡犯罪分子正在出售一種名為“Hook”的新型 Android 惡意軟件,聲稱它可以使用 VNC(虛擬網絡計算)實時遠程接管移動設備。
新惡意軟件由 Ermac,一種 Android 銀行木馬,每月售價 5,000 美元,可幫助威脅行為者通過重疊的登錄頁面從超過 467 個銀行和加密應用程序中竊取憑據。
雖然 Hook 的作者聲稱新的惡意軟件是從頭開始編寫的,並且儘管與 Ermac 相比有幾個額外的功能,但 ThreatFabric 的研究人員對這些說法提出異議,並報告說兩個家族之間存在大量代碼重疊。
威脅Fabric 解釋說,Hook 包含了 Ermac 的大部分代碼庫,因此它仍然是一個銀行木馬。同時,它包含在舊版本中發現的幾個不必要的部分,表明它批量重用了代碼。
更危險的安卓惡意軟件
儘管它起源於 Ermac,但 Hook 是 Ermac 的演變,提供了一組廣泛的功能,使其成為對 Android 用戶更危險的威脅。
與 Ermac 相比,Hook 的一個新特性是除了 Ermac 專門使用的 HTTP 流量之外還引入了 WebSocket 通信。網絡流量仍然使用 AES-256-CBC 硬編碼密鑰進行加密。
然而,最重要的是“VNC”模塊,它使威脅行為者能夠與受感染設備的用戶界面實時交互。
這個新系統使 Hook 的操作員能夠在設備上執行任何操作,從 PII 洩露到貨幣交易。
“有了這個功能,Hook 加入了惡意軟件家族的行列,能夠執行完整的 DTO,並完成完整的欺詐鏈,從 PII 洩露到交易,所有中間步驟都不需要額外的渠道,” 警告 ThreatFabric.
“這種操作更難被欺詐評分引擎檢測到,是 Android 銀行家的主要賣點。”
問題是 Hook 的 VNC 需要訪問輔助功能服務才能工作,這可能很難在運行的設備上獲得g Android 11 或更高版本。
Hook 的新(除了 Ermac 的)命令可以執行以下操作:
- 啟動/停止 RAT
- 執行特定的滑動手勢
- 截圖
- 模擬點擊特定文本項
- 模擬按鍵(HOME/BACK/RECENTS/LOCK/POWERDIALOG)
- 解鎖設備
- 向上/向下滾動
- 模擬長按事件
- 模擬點擊特定坐標
- 將剪貼板值設置為具有特定坐標值的 UI 元素
- 模擬點擊具有特定文本值的 UI 元素
- 將 UI 元素值設置為特定文本
除上述之外,“文件管理器”命令將惡意軟件轉變為文件管理器,允許威脅行為者獲取存儲在設備中的所有文件的列表並下載他們選擇的特定文件。
ThreatFabric 發現的另一個值得注意的命令與 WhatsApp 有關,允許 Hook 記錄流行的 IM 應用程序中的所有消息甚至允許運營商通過受害者的帳戶發送消息。
最後,新的地理定位跟踪系統使 Hook 操作員能夠通過濫用“訪問精確位置”權限來跟踪受害者的精確位置。
全球定位
Hook 的目標銀行應用程序影響了美國、西班牙、澳大利亞、波蘭、加拿大、土耳其、英國、法國、意大利和葡萄牙的用戶。
但是,必須注意的是,Hook 的廣泛目標範圍涵蓋了整個世界。 ThreatFabric 在 報告的附錄,供有興趣的人閱讀。
目前,Hook 以 Google Chrome APK 的形式分發,名稱為“com.lojibiwawajinu.guna”、“com.damariwonomiwi.docebi”、“com.damariwonomiwi.docebi”和“com.yecomevusaso.pisifo” ”,當然,這隨時可能發生變化。
為避免感染 Android 惡意軟件,您應該只安裝來自 Google Play 商店或那些 provi由您的雇主指定。
如若转载,请注明出处:https://www.ozabc.com/it/534009.html