Сотрудники ThreatFabric обнаружили новое вредоносное ПО для банковских приложений на Android под названием «Hook». Злоумышленник под именем DukeEugene продает вредоносное ПО в даркнете и утверждает, что написал код с нуля. Однако анализ кода TreatFabric показывает, что это ответвление Ermac, одного из наиболее часто обнаруживаемых семейств вредоносных программ. В то время как большая часть кода принадлежит известному банковскому трояну, остальная часть представляет собой фрагменты других программ.

 Несмотря на ложные заявления DukeEugene об авторстве, Hook привносит много новых функций в семейство вредоносных программ. Он включает связь WebSocket и шифрует свой трафик с помощью жестко закодированного ключа AES-256-CBC. Что отличает Hook от Ermac, так это его способность использовать виртуальные сетевые вычисления (VNC) для завладения телефоном на базе Android. Программное обеспечение может отправлять виртуальные жесты смахивания, прокручивать, делать снимки экрана и имитировать нажатия клавиш, включая длительное нажатие.

 "Благодаря этой функции Hook присоединился к семейству вредоносных программ, способных выполнять полный захват устройства и завершать полную цепочку мошенничества, от эксфильтрации до транзакции, со всеми промежуточными шагами без необходимости использования дополнительных каналов", - сказал представитель ThreatFabric. Такого рода операции намного сложнее обнаружить с помощью механизмов оценки мошенничества.

 Исследователи говорят, что Hook также действует как файловый менеджер. Хакеры могут использовать его для просмотра всех файлов на телефоне или их загрузки. Он также может просматривать или загружать любые изображения на телефон. Hook даже не нужно использовать команды оболочки для эксфильтрации файлов. Вместо этого он использует существующие Android API для кражи файлов. Эта возможность в сочетании с доступом к местоположению в режиме реального времени делает его одновременно троянской и шпионской программой.

 Жертвами вредоносного ПО стали пользователи из множества стран, включая США, Австралию, Канаду, Великобританию, Францию и другие.

 Что касается смягчения последствий, то следует всегда соблюдать безопасность. Необходимо избегать загрузки программного обеспечения вне Google Play Store или других надежных источников. Кроме того, Hook запрашивает разрешения специальных возможностей для получения прав администратора, поэтому необходимо быть осторожными с приложениями, запрашивающими такой тип доступа.