Cybersicherheitsexperten haben vor einer neuen Android-Malware gewarnt, die den Zielendpunkt übernehmen kann (öffnet in neuem Tab) und es zu verwenden, um Daten zu stehlen, personenbezogene Daten (PII) zu exfiltrieren und Finanztransaktionen durchzuführen.
Die von Forschern der Sicherheitsfirma ThreatFabric entdeckte Malware heißt Hook und kann im Dark Web gekauft werden.
In seinem Prüfbericht (öffnet in neuem Tab), stellt das ThreatFabric-Team fest, dass Hook im Wesentlichen ein Banking-Trojaner ist. In Bezug auf den Code scheint es Ermac, einem anderen beliebten Trojaner, ziemlich ähnlich zu sein und teilt sogar zahlreiche Funktionen mit der berüchtigten Malware. Es gibt jedoch einige herausragende Funktionen, einschließlich der Verwendung von VNC (Virtual Network Computing), um das mobile Gerät zu übernehmen. Hook verfügt außerdem über WebSocket-Kommunikationsfunktionen und verschlüsselt seinen Datenverkehr mit dem fest codierten AES-256-CBC-Schlüssel.
Einzigartige Merkmale
Zu den weiteren bemerkenswerten Funktionen von Hook gehören das Ausführen bestimmter Wischgesten, das Aufnehmen von Screenshots, das Simulieren von Tastendrücken, das Scrollen und das Simulieren eines Ereignisses mit langem Drücken. Die Malware kann auch als Dateimanager-App verwendet werden, warnten die Forscher weiter, die es den Benutzern ermöglicht, alle Dateien aufzulisten, die sich auf dem Endpunkt befinden, und diejenigen zu exfiltrieren, die sie für würdig erachten.
„Mit dieser Funktion reiht sich Hook in die Reihe der Malware-Familien ein, die in der Lage sind, eine vollständige DTO durchzuführen und eine vollständige Betrugskette von der PII-Exfiltration bis zur Transaktion mit allen Zwischenschritten abzuschließen, ohne dass zusätzliche Kanäle erforderlich sind“, warnt das Team .
„Diese Art von Vorgang ist von Betrugsbewertungs-Engines viel schwerer zu erkennen und ist das Hauptverkaufsargument für Android-Banker.“
Der Silberstreif am Horizont besteht, wie bei Android-Geräten üblich, darin, dass der Benutzer die Berechtigungen des Accessibility Service erteilen muss, damit die Malware ihr wahres Potenzial entfalten kann. Diejenigen, die dies tun, können auch damit rechnen, dass ihr Standort preisgegeben wird, da Hook auch in der Lage ist, die Berechtigung „Access Fine Location“ zu missbrauchen.
Anscheinend sind die Angriffsziele auf der ganzen Welt verstreut, wobei Forscher kompromittierte Geräte in den USA, Großbritannien, Spanien, Polen, Portugal, Italien, Frankreich, Kanada, Australien und der Türkei finden.
Über: Piepender Computer (öffnet in neuem Tab)