Một phân tích mới về trojan ngân hàng Android có tên Hook đã tiết lộ rằng nó dựa trên phiên bản tiền nhiệm ERMAC.
Các nhà nghiên cứu bảo mật Joshua Kamp và Alberto Segura của NCC Group cho biết trong một phân tích kỹ thuật được công bố vào tuần trước : “Mã nguồn ERMAC được sử dụng làm cơ sở cho Hook” .
“Tất cả các lệnh (tổng cộng 30 lệnh) mà kẻ điều hành phần mềm độc hại có thể gửi đến thiết bị bị nhiễm phần mềm độc hại ERMAC, cũng tồn tại trong Hook. Việc triển khai mã cho các lệnh này gần như giống hệt nhau.”
Hook lần đầu tiên được ThreatFabric ghi lại vào tháng 1 năm 2023, mô tả nó như một " phân nhánh ERMAC " được rao bán với giá 7.000 USD mỗi tháng. Cả hai chủng này đều là tác phẩm của tác giả phần mềm độc hại có tên DukeEugene.
Điều đó có nghĩa là Hook mở rộng các chức năng của ERMAC với nhiều khả năng hơn, hỗ trợ tới 38 lệnh bổ sung khi so sánh với lệnh sau.
Các tính năng cốt lõi của ERMAC được thiết kế để gửi tin nhắn SMS, hiển thị cửa sổ lừa đảo trên ứng dụng hợp pháp, trích xuất danh sách các ứng dụng đã cài đặt, thu thập tin nhắn SMS và thu thập cụm từ hạt giống khôi phục cho nhiều ví tiền điện tử.
Mặt khác, Hook tiến thêm một bước bằng cách phát trực tuyến màn hình của nạn nhân và tương tác với giao diện người dùng để giành quyền kiểm soát hoàn toàn đối với thiết bị bị nhiễm độc, chụp ảnh nạn nhân bằng camera mặt trước, thu thập cookie liên quan đến các phiên đăng nhập Google, và cướp bóc hạt giống phục hồi từ nhiều ví tiền điện tử hơn.
Nó có thể gửi thêm tin nhắn SMS tới nhiều số điện thoại, truyền bá phần mềm độc hại đến những người dùng khác một cách hiệu quả.
Bất kể những khác biệt này, cả Hook và ERMAC đều có thể ghi lại các lần nhấn phím và lạm dụng các dịch vụ trợ năng của Android để tiến hành các cuộc tấn công lớp phủ nhằm hiển thị nội dung trên các ứng dụng khác và đánh cắp thông tin xác thực từ hơn 700 ứng dụng. Danh sách các ứng dụng cần nhắm mục tiêu được truy xuất nhanh chóng thông qua yêu cầu tới máy chủ từ xa.
Các họ phần mềm độc hại cũng được thiết kế để theo dõi các sự kiện trong khay nhớ tạm và thay thế nội dung bằng ví do kẻ tấn công kiểm soát nếu nạn nhân sao chép địa chỉ ví hợp pháp.
Phần lớn các máy chủ chỉ huy và kiểm soát (C2) của Hook và ERMAC được đặt tại Nga, tiếp theo là Hà Lan, Anh, Mỹ, Đức, Pháp, Hàn Quốc và Nhật Bản.
Kể từ ngày 19 tháng 4 năm 2023, có vẻ như dự án Hook đã bị đóng cửa, theo một bài đăng được chia sẻ bởi DukeEugene, người tuyên bố sẽ tham gia một "chiến dịch quân sự đặc biệt" và việc hỗ trợ cho phần mềm sẽ được cung cấp bởi một tác nhân khác có tên RedDragon cho đến khi hết số lượng thuê bao của khách hàng.
Sau đó, vào ngày 11 tháng 5 năm 2023, mã nguồn của Hook được cho là đã được RedDragon bán với giá 70.000 USD trên một diễn đàn ngầm. Bỏ qua vòng đời ngắn ngủi của Hook, sự phát triển đã làm tăng khả năng các tác nhân đe dọa khác có thể tiếp tục công việc và phát hành các biến thể mới trong tương lai.
Tiết lộ này được đưa ra khi một kẻ đe dọa mối quan hệ với Trung Quốc có liên quan đến một chiến dịch phần mềm gián điệp Android nhắm mục tiêu vào người dùng ở Hàn Quốc kể từ đầu tháng 7 năm 2023.
Cyble cho biết : “Phần mềm độc hại được phân phối thông qua các trang web lừa đảo giả dạng trang web người lớn nhưng thực chất lại phân phối tệp APK độc hại” . “Khi phần mềm độc hại đã lây nhiễm vào máy của nạn nhân, nó có thể đánh cắp nhiều loại thông tin nhạy cảm, bao gồm danh bạ, tin nhắn SMS, nhật ký cuộc gọi, hình ảnh, tệp âm thanh, bản ghi màn hình và ảnh chụp màn hình.”
Trên hết, phần mềm độc hại (tên gói APK "com.example.middlerankapp") lợi dụng các dịch vụ trợ năng để giám sát các ứng dụng mà nạn nhân sử dụng và ngăn chặn việc gỡ cài đặt.
Nó cũng chứa một tính năng cho phép phần mềm độc hại chuyển hướng các cuộc gọi đến đến một số điện thoại di động được chỉ định do kẻ tấn công kiểm soát, chặn tin nhắn SMS và kết hợp chức năng ghi nhật ký bàn phím chưa hoàn thiện, cho thấy nó có khả năng đang được phát triển tích cực.
Các kết nối đến Trung Quốc xuất phát từ việc tham chiếu đến Hồng Kông trong thông tin bản ghi WHOIS cho máy chủ C2 cũng như sự hiện diện của một số chuỗi ngôn ngữ Trung Quốc, bao gồm “中国共产党万岁” trong mã nguồn phần mềm độc hại, được dịch là “Long live the Đảng Cộng sản Trung Hoa."
Trong một diễn biến liên quan, tờ Haaretz của Israel tiết lộ rằng một công ty phần mềm gián điệp nội địa Insanet đã phát triển một sản phẩm có tên Sherlock, có thể lây nhiễm sang các thiết bị thông qua quảng cáo trực tuyến để rình mò mục tiêu và thu thập dữ liệu nhạy cảm từ hệ thống Android, iOS và Windows.
Hệ thống này được cho là đã được bán cho một quốc gia không phải là một quốc gia dân chủ, đồng thời cho biết thêm một số công ty mạng của Israel đã cố gắng phát triển công nghệ tấn công khai thác quảng cáo để lập hồ sơ nạn nhân (thuật ngữ gọi là AdInt hoặc thông tin quảng cáo) và phân phối phần mềm gián điệp. .