BlackRock和ERMAC Android 银行木马背后的威胁行为者已经发布了另一种名为Hook的出租恶意软件,它引入了新功能来访问存储在设备中的文件并创建远程交互会话。ThreatFabric 在与黑客新闻分享的一份报告中将Hook 描述为一种新颖的 ERMAC 分支,其广告售价为每月 7,000 美元,同时具有“其前身的所有功能”。
“此外,它还增加了其武器库远程访问工具 (RAT) 功能,加入了Octo和Hydra等家族的行列,这些家族能够执行完整的设备接管 (DTO),并完成完整的欺诈链,从PII 渗透到交易,所有中间步骤,不需要额外的渠道,”荷兰网络安全公司说。
恶意软件针对的大多数金融应用程序位于美国、西班牙、澳大利亚、波兰、加拿大、土耳其、英国、法国、意大利和葡萄牙。
Hook 是威胁行为者 DukeEugene 的杰作,代表了 ERMAC 的最新发展,它于 2021 年 9 月首次披露,基于另一个名为Cerberus的木马,该木马的源代码于 2020 年泄露。
“ERMAC 在功能和特性方面一直落后于 Hydra 和 Octo,”ThreatFabric 研究员 Dario Durando 通过电子邮件告诉黑客新闻。“这在威胁行为者中也是众所周知的,他们更喜欢这两个家族而不是 ERMAC。”
“缺乏某种 RAT 功能是现代 Android Banker 的一个主要问题,因为它不提供执行设备接管 (DTO) 的可能性,这是最有可能成功且未被发现的欺诈方法欺诈评分引擎或欺诈分析师。这很可能是触发这种新恶意软件变体开发的原因。”
与其他同类 Android 恶意软件一样,该恶意软件滥用 Android 的辅助功能服务 API 来进行覆盖攻击并收集各种敏感信息,例如联系人、通话记录、击键、双因素身份验证 (2FA) 令牌,甚至 WhatsApp 消息。
它还扩展了应用程序列表,包括 ABN AMRO 和 Barclays,而恶意样本本身伪装成 Google Chrome 网络浏览器,以欺骗毫无戒心的用户下载恶意软件:
- com.lojibiwawajinu.guna
- com.damariwonomiwi.docebi
- com.yecomevusaso.pisifo
添加到 Hook 的其他主要功能包括远程查看受感染设备的屏幕并与之交互、获取文件、从加密钱包中提取助记词以及跟踪手机位置的能力,从而模糊了间谍软件和银行恶意软件之间的界限.
ThreatFabric 表示,到目前为止在测试阶段观察到的 Hook 伪影,但指出它可以通过网络钓鱼活动、Telegram 频道或以 Google Play Store dropper 应用程序的形式传播。
“创建新恶意软件的主要缺点通常是获得其他参与者的足够信任,但鉴于 DukeEugene 在犯罪分子中的地位,这很可能不会成为 Hook 的问题”
评论 (0)