- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Hook представляет собой форк другого банковского трояна – Ermac – и, как утверждает его разработчик, обладает всеми функциями предшественника, а также предлагает ряд новых. В частности, он позволяет загрузить любые файлы, хранящиеся на целевом Android-устройстве, а также удаленно его контролировать.
Доступ к Hook предоставляется по подписочной модели за немалые деньги – $7 тыс. в месяц. Приобрести вредоносную программу предлагают в даркнете.
Ключевой особенностью нового вредоноса является наличие специального VNC-модуля, который позволяет оператору Hook взаимодействовать с пользовательским интерфейсом зараженного устройства в режиме реального времени. Другими словами, хакер видит экран смартфона жертвы и может совершать от ее лица абсолютно любые действия.
Как и другие Android-вредоносы с подобной функциональностью, Hook использует специальные возможности ОС (Accessibility Services API) для создания невидимого окна поверх окон легитимных приложений и сбора разнообразной ценной информации, такой как список контактов, история вызовов, токены двухфакторной аутентификации, сообщения в мессенджере WhatsApp.
Эта особенность вредоноса является его основным недостатком. У него, вероятно, возникнут трудности в работе на устройствах с Android 11, 12 и 13, поскольку для этих версий ОС Google ввела дополнительные ограничения на использования функций Accessibility Service,
Еще одна уникальная функция трояна – файловый менеджер, позволяет оператору получить список всех файлов на зараженном устройстве и скачать нужные.
Наконец, Hook обладает функциональностью, которая позволяет отслеживать местоположение жертвы с высокой точностью.
Hook умеет работать с множеством банковских приложений, принадлежащих финансовым организациям по всему миру. Однако в первую очередь вредонос нацелен на клиентов банков в США, Испании, Австралии, Польши, Канады, Турции, Великобритании, Франции, Италии и Португалии.
В настоящее время Hook распространяется в виде APK-файла и маскируется под браузер Google Chrome. Название пакета может быть одним из следующих: "com.lojibiwawajinu.guna", "com.damariwonomiwi.docebi", "com.damariwonomiwi.docebi", "com.yecomevusaso.pisifo".
Как отмечает The Hacker News, в доставку вредоноса можно также осуществлять при помощи фишинга, через Telegram-каналы или дропперы в магазине Google Play – приложения, обходящие механизмы защиты Google и предназначенные для загрузки на устройства жертв других вредоносных программ.
