Hook против ERMAC: как старший брат научил младшего плохим манерам

Hook против ERMAC: как старший брат научил младшего плохим манерам

Чем принципиально отличаются банковские троянцы и почему это важно?

image

Недавние исследования в области кибербезопасности выявили, что новый банковский троян для Android под названием Hook базируется на другом некогда известном трояне ERMAC. Эксперты из NCC Group, Джошуа Кэмп и Альберто Сегура, опубликовали технический анализ , в котором утверждают, что исходный код ERMAC был использован как основа для Hook.

Hook был впервые зафиксирован исследователями ThreatFabric в январе 2023 года, когда распространялся по модели MaaS с ценником $7,000 в месяц. Hook является творением автора вредоносного ПО, известного на киберпреступных форумах как DukeEugene. Он же, судя по всему, и является разработчиком ERMAC.

Троянец Hook не просто копирует функции ERMAC, но и существенно расширяет их, поддерживая до 38 дополнительных команд. Основные функции ERMAC, а соответственно и Hook тоже, включают в себя отправку SMS, отображение фишинговых окон, извлечение списка установленных приложений и кражу секретных фраз для восстановления криптовалютных кошельков.

Однако Hook идёт ещё дальше, позволяя стримить изображение с экрана жертвы и взаимодействовать с пользовательским интерфейсом для полного контроля над устройством. Также троян способен похищать cookie-файлы, связанные с логинами Google, и распространяться посредством SMS.

Несмотря на различия, оба трояна могут регистрировать нажатия клавиш и злоупотреблять службами доступности Android для проведения атак, направленных на кражу учётных данных из более чем 700 приложений. Информация о целевых приложениях загружается с удалённого сервера.

19 апреля 2023 года проект Hook, похоже, перестал поддерживаться оригинальным автором, а 11 мая исходный код вредоноса был продан за $70,000 на одном из подпольных форумов. Вероятно, Hook продолжил своё развитие другими разработчиками, возможно даже под другим названием.

Большинство C2-серверов Hook и ERMAC, как сообщают исследователи, были расположены в России, Нидерландах, Великобритании, США, Германии, Франции, Корее, Японии.

Прекращение деятельности проекта Hook не означает исчезновение угрозы. Современный мир кибербезопасности постоянно меняется, и новые хакерские объединения могут легко возродить или модифицировать существующие вредоносные программы.

Именно поэтому исследователям и специалистам по кибербезопасности необходимо постоянно быть на страже и обновлять меры защиты для сопротивления эволюционирующим методам атак.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь