Начались продажи программы для полного захвата и контроля чужого смартфона на Android

Автор банковских троянов BlackRock и Ermac для мобильных устройств на базе операционной системы Android создал новую вредоносную программу Hook, предназначенную для кражи реквизитов доступа к банковским приложениям и криптовалютным кошелькам. Об этом сообщило издание The Hacker News со ссылкой на исследование ИБ-компании ThreatFabric.

Hook представляет собой форк другого банковского трояна — Ermac — и, как утверждает его разработчик, обладает всеми функциями предшественника, а также предлагает ряд новых. В частности, он позволяет загрузить любые файлы, хранящиеся на целевом Android-устройстве, а также удаленно его контролировать.

Доступ к Hook предоставляется по подписочной модели за немалые деньги — $7 тыс. в месяц. Приобрести вредоносную программу предлагают в даркнете.

Ключевой особенностью нового вредоноса является наличие специального VNC-модуля, который позволяет оператору Hook взаимодействовать с пользовательским интерфейсом зараженного устройства в режиме реального времени. Другими словами, хакер видит экран смартфона жертвы и может совершать от ее лица абсолютно любые действия.

Как и другие Android-вредоносы с подобной функциональностью, Hook использует специальные возможности ОС (Accessibility Services API) для создания невидимого окна поверх окон легитимных приложений и сбора разнообразной ценной информации, такой как список контактов, история вызовов, токены двухфакторной аутентификации, сообщения в мессенджере WhatsApp.

Эта особенность вредоноса является его основным недостатком. У него, вероятно, возникнут трудности в работе на устройствах с Android 11, 12 и 13, поскольку для этих версий ОС Google ввела дополнительные ограничения на использования функций Accessibility Service,

Еще одна уникальная функция трояна — файловый менеджер, позволяет оператору получить список всех файлов на зараженном устройстве и скачать нужные.

Наконец, Hook обладает функциональностью, которая позволяет отслеживать местоположение жертвы с высокой точностью.

Hook умеет работать с множеством банковских приложений, принадлежащих финансовым организациям по всему миру. Однако в первую очередь вредонос нацелен на клиентов банков в США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.

В настоящее время Hook распространяется в виде APK-файла и маскируется под браузер Google Chrome. Название пакета может быть одним из следующих: «com.lojibiwawajinu.guna», «com.damariwonomiwi.docebi», «com.damariwonomiwi.docebi», «com.yecomevusaso.pisifo».

Как отмечает The Hacker News, в доставку вредоноса можно также осуществлять при помощи фишинга, через Telegram-каналы или дропперы в магазине Google Play — приложения, обходящие механизмы защиты Google и предназначенные для загрузки на устройства жертв других вредоносных программ.