19.09.2023 | Hook против ERMAC: как старший брат научил младшего плохим манерам |
Недавние исследования в области кибербезопасности выявили, что новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group , Джошуа Кэмп и Альберто Сегура, опубликовали технический анализ , в котором утверждают, что исходный код ERMAC был использован как основа для Hook. Hook был впервые зафиксирован исследователями ThreatFabric в январе 2023 года, когда распространялся по модели MaaS с ценником $7,000 в месяц. Hook является творением автора вредоносного ПО, известного на киберпреступных форумах как DukeEugene. Он же, судя по всему, и является разработчиком ERMAC. Троянец Hook не просто копирует функции ERMAC, но и существенно расширяет их, поддерживая до 38 дополнительных команд. Основные функции ERMAC, а соответственно и Hook тоже, включают в себя отправку SMS, отображение фишинговых окон, извлечение списка установленных приложений и кражу секретных фраз для восстановления криптовалютных кошельков. Однако Hook идёт ещё дальше, позволяя стримить изображение с экрана жертвы и взаимодействовать с пользовательским интерфейсом для полного контроля над устройством. Также троян способен похищать cookie-файлы, связанные с логинами Google, и распространяться посредством SMS. Несмотря на различия, оба трояна могут регистрировать нажатия клавиш и злоупотреблять службами доступности Android для проведения атак, направленных на кражу учётных данных из более чем 700 приложений. Информация о целевых приложениях загружается с удалённого сервера. 19 апреля 2023 года проект Hook, похоже, перестал поддерживаться оригинальным автором, а 11 мая исходный код вредоноса был продан за $70,000 на одном из подпольных форумов. Вероятно, Hook продолжил своё развитие другими разработчиками, возможно даже под другим названием. Большинство C2-серверов Hook и ERMAC, как сообщают исследователи, были расположены в России, Нидерландах, Великобритании, США, Германии, Франции, Корее, Японии. Прекращение деятельности проекта Hook не означает исчезновение угрозы. Современный мир кибербезопасности постоянно меняется, и новые хакерские объединения могут легко возродить или модифицировать существующие вредоносные программы. Именно поэтому исследователям и специалистам по кибербезопасности необходимо постоянно быть на страже и обновлять меры защиты для сопротивления эволюционирующим методам атак. |
Проверить безопасность сайта