بدافزار جدید با نام «Hook» امکان سرقت و جاسوسی بی‌درنگ از دستگاه‌های Android را فراهم می‌کند.

محققان امنیتی ThreatFabric یک بدافزار برنامه بانکی اندروید به نام "Hook" را کشف کردند. این برنامه به هکرها اجازه می دهد تا تلفن هدف را از راه دور کنترل کنند. بازیگران بد می توانند از آن برای سرقت داده ها، استخراج اطلاعات شناسایی شخصی (PII)، انجام تراکنش های مالی و موارد دیگر استفاده کنند.

یک عامل تهدید (TA)، که توسط DukeEugene می‌رود، بدافزار را در وب تاریک می‌فروشد و ادعا می‌کند که او کد را "از ابتدا" نوشته است. با این حال، تجزیه و تحلیل کد TreatFabric نشان می دهد که آن را یک انشعاب از Ermac، یکی از خانواده بدافزارهای شناسایی شده در طبیعت است. در حالی که بیشتر کدها از تروجان بانکی معروف است، بقیه قسمت‌ها و بخش‌هایی از برنامه‌های دیگر است که نشان می‌دهد هیچ افتخاری در میان سارقان وجود ندارد.

علی‌رغم ادعاهای دروغین دوک یوجین مبنی بر نویسندگی (اگرچه) TA کد اصلی Ermac را نوشت)، هوک بسیاری از ویژگی‌های جدید را برای خانواده بدافزارها به ارمغان می‌آورد. این شامل ارتباطات WebSocket است و ترافیک آن را با استفاده از یک کلید رمزگذاری شده AES-256-CBC رمزگذاری می‌کند.

آنچه هوک را از Ermac متمایز می‌کند، توانایی آن در استفاده از محاسبات شبکه مجازی (VNC) برای ربودن تلفن Android است. این نرم‌افزار می‌تواند ژست‌های تند کشیدن مجازی را ارسال کند، اسکرول کند، از صفحه نمایش عکس بگیرد، و فشردن کلید را شبیه‌سازی کند، از جمله فشار طولانی.

"با این ویژگی، هوک به صف خانواده‌های بدافزارهایی می‌پیوندد که می‌توانند DTO کامل [دسترسی دستگاه] را انجام دهند و یک زنجیره کامل کلاهبرداری، از استخراج PII تا تراکنش را تکمیل کنند. با تمام مراحل میانی، بدون نیاز به کانال های اضافی، گفت: ThreatFabric. شناسایی این نوع عملیات توسط موتورهای امتیازدهی تقلب بسیار سخت تر است و نقطه فروش اصلی بانکداران اندروید است. هکرها می توانند از آن برای مشاهده تمام فایل های موجود در تلفن یا دانلود هر فایلی که به نظرشان ارزشمند است استفاده کنند. همچنین می تواند هر تصویری را در گوشی مشاهده یا دانلود کند. هوک حتی نیازی به استفاده از دستورات پوسته برای انجام exfiltration فایل ندارد. در عوض، از API های موجود اندروید برای سرقت فایل ها استفاده می کند. این قابلیت همراه با دسترسی آن به اطلاعات ردیابی GPS بی‌درنگ، آن را به مجموعه‌ای دو وظیفه‌ای-تروجان/جاسوس‌افزار بانکی تبدیل می‌کند.

قربانیان این بدافزار (برنامه‌های بانکی) گسترده و گسترده هستند، با ایالات متحده، استرالیا، کانادا، بریتانیا و فرانسه همگی در ده هدف اول گزارش شده اند. با این حال، ThreatFabric می‌گوید که فهرست کشورهای خارج از ده کشور برتر، گسترده است و این مناطق تنها کمی پایین‌تر از رتبه دهم هستند. محققان لیست کاملی از برنامه های هدف و نام بسته های مرتبط با هوک را در انتهای پست وبلاگ خود ارسال کردند. این مقاله همچنین دارای تمام پیچ و مهره های فنی برای علاقه مندان است.

در مورد کاهش، همیشه بهداشت ایمنی را رعایت کنید. از دانلود نرم افزار خارج از فروشگاه Google Play یا سایر منابع قابل اعتماد خودداری کنید. همچنین، هوک برای به دست آوردن امتیازات سرپرست، مجوز دسترسی می‌خواهد، بنابراین مراقب برنامه‌هایی باشید که این نوع دسترسی را درخواست می‌کنند.

اعتبار تصویر: ThreatFabric