Вредоносное ПО, обнаруженное исследователями охранной фирмы ThreatFabric, называется Hook, и его можно купить в даркнете.
В своем отчете команда ThreatFabric отмечает, что Hook по сути является банковским трояном. По коду он очень похож на Ermac, еще один популярный троян, и даже имеет много общих черт с печально известным вредоносным ПО. Тем не менее, есть несколько выдающихся функций, в том числе использование VNC для управления мобильным устройством. Hook также поставляется с функциями связи WebSocket и шифрует трафик с помощью жестко закодированного ключа AES-256-CBC.
Другие функции Hook включают в себя выполнение определенных свайпов, создание снимков экрана, имитацию нажатия клавиш, прокрутку и имитацию события длительного нажатия. Исследователи предупредили, что вредоносное ПО можно использовать в качестве приложения для управления файлами, позволяя пользователям получить доступ к любым файлам на устройстве.
Благодаря этой функции Hook присоединяется к семейству вредоносных программ, способных выполнять полный DTO и завершать полную цепочку мошенничества, от эксфильтрации PII до транзакции, со всеми промежуточными шагами без необходимости использования дополнительных каналов.
Такого рода операции намного сложнее обнаружить с помощью механизмов защиты
Такого рода операции намного сложнее обнаружить с помощью механизмов защиты
— ThreatFabric.
Немного утешает тот факт, что как это обычно бывает с устройствами Android, пользователю необходимо предоставить разрешения службе специальных возможностей, чтобы вредоносное ПО смогло раскрыть свой истинный потенциал. Те, кто это сделает, также должны поинмать, что их местоположение будет раскрыто, поскольку Hook также может злоупотреблять разрешением «Доступ к точному местоположению».
Исследователи уже обнаружили скомпрометированные устройства в США, Великобритании, Испании, Польше, Португалии, Италии, Франции, Канаде, Австралии и Турции.
