Odkryto trojana dla Androida, który umożliwia hakerom uzyskanie pełnego dostępu do smartfona

W tak zwanej ciemnej sieci cyberprzestępcy umieścili złośliwe oprogramowanie na Androida o nazwie Hook. Potrafi ono zdalnie przejąć kontrolę nad urządzeniami mobilnymi w czasie rzeczywistym za pomocą VNC (virtual network computing).

Nowe złośliwe oprogramowanie jest promowane przez twórcę Ermaca, trojana bankowego na Androida, który sprzedaje się za 5000 dolarów miesięcznie i pomaga atakującym wykraść dane uwierzytelniające z ponad 467 aplikacji bankowych i kryptowalutowych za pośrednictwem fałszywych stron logowania.

Chociaż autor Hooka twierdzi, że nowe złośliwe oprogramowanie zostało napisane od podstaw, analitycy ThreatFabric twierdzą, że Hook zawiera większość bazy kodu Ermaca, więc nadal jest trojanem bankowym.

Jak zauważa Bleeping Computer, pomimo swojego pochodzenia, Hook jest ewolucją Ermaca, oferując szeroki zakres funkcji, które czynią go bardziej niebezpiecznym dla użytkowników Androida.

Jedną z nowych funkcji Hook w porównaniu do Ermac jest wprowadzenie komunikacji za pośrednictwem WebSocket, która jest dodawana do ruchu HTTP używanego wyłącznie przez Ermac. Ruch sieciowy jest nadal szyfrowany przy użyciu twardego klucza AES-256-CBC.

Głównym dodatkiem jest jednak moduł VNC, który pozwala atakującym na interakcję z interfejsem użytkownika zaatakowanego urządzenia w czasie rzeczywistym.

Ten nowy system umożliwia operatorom Hook wykonywanie dowolnych działań na urządzeniu, od wycieku danych osobowych po transakcje pieniężne. Wirus może przejąć pełną kontrolę nad smartfonem i odblokować gadżet bez zgody użytkownika, robić zrzuty ekranu, imitować naciśnięcia klawiszy i wiele więcej.

Ponadto polecenie "Menedżer plików" pozwala hakerowi przekształcić złośliwe oprogramowanie w menedżera plików i uzyskać dostęp do wszystkich plików przechowywanych na urządzeniu i ich pobierania.

Atakujący mogą również uzyskać dostęp do WhatsApp za pośrednictwem Hook i używać go do przekazywania wiadomości za pośrednictwem konta ofiary.

Hakerzy są również w stanie ustalić dokładną lokalizację swojej ofiary, ponieważ uzyskują dostęp do systemu śledzenia geolokalizacji.

Hook jest obecnie dystrybuowany jako APK dla Google Chrome pod nazwami pakietów:

• com.lojibiwawajinu.guna;
• com.damariwonomiwi.docebi;
• com.damariwonomiwi.docebi;
• com.yecomevusaso.pisifo.

Aby uniknąć infekcji złośliwym oprogramowaniem na Androida, autorzy zalecają instalowanie aplikacji tylko ze Sklepu Google Play lub jeśli są one uzyskiwane od zaufanych stron.

Użytkownikom zaleca się również zaktualizowanie wersji Androida na smartfonie, ponieważ Hook's VNC wymaga dostępu do usługi dostępności, co jest trudniejsze do uzyskania na urządzeniach z systemem Android 11 lub nowszym.

Wcześniej OBOZREVATEL informował, jak sprawdzić, czy aplikacja jest bezpieczna w sklepie Google Play.

Subskrybuj kanały OBOZREVATEL w Telegram i Viber, aby być na bieżąco z najnowszymi osiągnięciami.