يتم الترويج للبرامج الضارة الجديدة من قبل منشئ Ermac، وهو طروادة مصرفية تعمل بنظام Android تُباع مقابل 5000 دولار شهريًا تساعد الهاكرز على سرقة أوراق الاعتماد من أكثر من 467 تطبيقًا مصرفيًا وتشفيريًا عبر صفحات تسجيل الدخول المتراكبة.
بينما يدعي مؤلف كتاب Hook أن البرنامج الضار الجديد تمت كتابته من الصفر، وعلى الرغم من وجود العديد من الميزات الإضافية مقارنة بـ Ermac، يعارض الباحثون في ThreatFabric هذه الادعاءات ويبلغون عن رؤية تداخلات واسعة في الكود بين العائلتين.
يوضح ThreatFabric أن Hook يحتوي على معظم قاعدة الكود المصدري Ermac، لذلك لا يزال طروادة مصرفية. في الوقت نفسه، يتضمن العديد من الأجزاء غير الضرورية الموجودة في السلالة القديمة والتي تشير إلى إعادة استخدام الكود بالجملة.
اكثر البرامج الضارة خطورة على Android
على الرغم من أصله، فإن Hook هو تطور لـ Ermac، حيث يقدم مجموعة واسعة من القدرات التي تجعله تهديدًا أكثر خطورة لمستخدمي Android.
إحدى الميزات الجديدة لـ Hook مقارنة بـ Ermac هي إدخال اتصالات WebSocket التي تأتي بالإضافة إلى حركة مرور HTTP التي يستخدمها Ermac حصريًا. لا تزال حركة مرور الشبكة مشفرة باستخدام مفتاح مقوى AES-256-CBC.
ومع ذلك، فإن الإضافة البارزة هي وحدة «VNC» التي تمنح الهاكرز القدرة على التفاعل مع واجهة المستخدم للجهاز المخترق في الوقت الفعلي.
مؤلف Hook يروج لنظام VNC الجديد
يتيح هذا النظام الجديد لمشغلي Hook إجراء أي عملية على الجهاز، من تهريب PII إلى المعاملات النقدية.
«مع هذه الميزة، ينضم Hook إلى صفوف عائلات البرامج الضارة القادرة على أداء DTO بالكامل، وإكمال سلسلة احتيال كاملة، من تهريب PII إلى المعاملات، مع جميع الخطوات الوسيطة، دون الحاجة إلى قنوات إضافية،» يحذر ThreatFabric.
"يصعب اكتشاف هذا النوع من العمليات عن طريق محركات تسجيل النقاط الاحتيالية، وهي نقطة البيع الرئيسية لمصرفيي Android'.
المهم هو أن Hook's VNC تتطلب إتاحة إمكانية الوصول للعمل، والتي قد يكون من الصعب الحصول عليها على الأجهزة التي تعمل بنظام Android 11 أو بعد ذلك.
يمكن لأوامر هوك الجديدة (بالإضافة إلى إيرماك) تنفيذ الإجراءات التالية:
Start/stop RAT
Perform a specific swipe gesture
Take a screenshot
Simulate click at specific text item
Simulate a key press (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
Unlock the device
Scroll up/down
Simulate a long press event
Simulate click at a specific coordinate
Set clipboard value to a UI element with specific coordinates value
Simulate click on a UI element with a specific text value
Set a UI element value to a specific text
بصرف النظر عما سبق، فإن أمر «مدير الملفات» يحول البرنامج الضار إلى مدير ملفات، مما يسمح للهاكرز بالحصول على قائمة بجميع الملفات المخزنة في الجهاز وتنزيل ملفات محددة من اختيارهم.
أمر آخر ملحوظ وجده ThreatFabric يتعلق بـ WhatsApp، يسمح لـ Hook بتسجيل جميع الرسائل في تطبيق IM الشهير وحتى السماح للمشغلين بإرسال الرسائل عبر حساب الضحية.
أخيرًا، يتيح نظام تتبع الموقع الجغرافي الجديد لمشغلي Hook تتبع الوضع الدقيق للضحية عن طريق إساءة استخدام إذن «الوصول إلى الموقع الدقيق».
تتبع الموقع الدقيق للضحية
الاستهداف في جميع أنحاء العالم
تؤثر التطبيقات المصرفية المستهدفة لـ Hook على المستخدمين في الولايات المتحدة وإسبانيا وأستراليا وبولندا وكندا وتركيا والمملكة المتحدة وفرنسا وإيطاليا والبرتغال.
عدد التطبيقات المصرفية لكل دولة مستهدفة من قبل Hook
ومع ذلك، من الضروري ملاحظة أن نطاق الاستهداف الواسع لهوك يغطي العالم بأسره. أدرج ThreatFabric جميع تطبيقات Hook الأهداف في ملحق التقرير للمهتمين.
في هذا الوقت، يتم توزيع Hook باعتباره Google Chrome APK تحت أسماء الحزم «com.lojibiwawajinu.guna» و «com.damariwonomiwi.docebi» و «com.yecomevusaso.pisifo» لكن بالطبع، يمكن أن يتغير هذا في أي لحظة.
لتجنب الإصابة ببرامج Android الضارة، يجب عليك فقط تثبيت التطبيقات من متجر Google Play أو تلك التي يوفرها مطور التطبيق.