Der Bedrohungsakteur, der hinter den BlackRock- und ERMAC-Android-Bankentrojanern steckt, hat eine weitere Malware namens Hook auf den Markt gebracht, die neue Funktionen bietet, um auf Dateien auf den Geräten zuzugreifen und eine interaktive Fernsitzung zu erstellen.
ThreatFabric beschreibt Hook in einem Bericht, der The Hacker News vorliegt, als einen neuartigen ERMAC-Fork, der für 7.000 Dollar pro Monat zum Verkauf angeboten wird und „alle Funktionen seines Vorgängers“ bietet.
„Darüber hinaus fügt er seinem Arsenal auch Remote Access Tooling (RAT) Fähigkeiten hinzu und reiht sich damit in die Reihe von Familien wie Octo und Hydra ein, die in der Lage sind, eine vollständige Geräteübernahme (Device Take Over, DTO) durchzuführen und eine komplette Betrugskette von der PII-Exfiltration bis zur Transaktion mit allen Zwischenschritten abzuschließen, ohne dass zusätzliche Kanäle benötigt werden“, so das niederländische Cybersicherheitsunternehmen.
Die meisten der Finanz-Apps, auf die die Malware abzielt, befinden sich in den USA, Spanien, Australien, Polen, Kanada, der Türkei, Großbritannien, Frankreich, Italien und Portugal.
Hook ist das Werk eines Bedrohungsakteurs namens DukeEugene und stellt die jüngste Weiterentwicklung von ERMAC dar, der erstmals im September 2021 bekannt wurde und auf einem anderen Trojaner namens Cerberus basiert, dessen Quellcode im Jahr 2020 durchsickerte.
„Ermac war in Bezug auf Fähigkeiten und Funktionen schon immer hinter Hydra und Octo zurück“, erklärte ThreatFabric-Forscher Dario Durando gegenüber The Hacker News per E-Mail. „Das ist auch unter den Bedrohungsakteuren bekannt, die diese beiden Familien gegenüber Ermac bevorzugen.“
„Das Fehlen einer Art von RAT-Fähigkeiten ist ein großes Problem für moderne Android-Banker, da sie nicht die Möglichkeit haben, Device Take Over (DTO) durchzuführen, also die Betrugsmethode, die am wahrscheinlichsten erfolgreich ist und von Betrugsbewertungsprogrammen oder Betrugsanalysten nicht entdeckt wird. Das ist höchstwahrscheinlich der Auslöser für die Entwicklung dieser neuen Malware-Variante.“
Wie andere Android-Malware dieser Art missbraucht die Malware die Zugriffsdienste-APIs von Android, um Overlay-Angriffe durchzuführen und alle Arten von sensiblen Informationen wie Kontakte, Anrufprotokolle, Tastatureingaben, 2FA-Tokens und sogar WhatsApp-Nachrichten abzugreifen.
Die Liste der Apps wurde um ABN AMRO und Barclays erweitert, während sich die bösartigen Samples selbst als Google Chrome-Webbrowser tarnen, um ahnungslose Nutzer zum Download der Malware zu verleiten:
- com.lojibiwawajinu.guna
- com.damariwonomiwi.docebi
- com.yecomevusaso.pisifo
Zu den weiteren wichtigen Funktionen von Hook gehört die Möglichkeit, den Bildschirm des infizierten Geräts aus der Ferne einzusehen und mit ihm zu interagieren, Dateien auszulesen, Seed-Phrasen aus Krypto-Brieftaschen zu extrahieren und den Standort des Telefons zu verfolgen, wodurch die Grenze zwischen Spyware und Banking-Malware verschwimmt.
ThreatFabric sagte, dass die Hook-Artefakte bisher in einer Testphase beobachtet wurden, aber dass sie über Phishing-Kampagnen, Telegram-Kanäle oder in Form von Google Play Store Dropper-Apps verbreitet werden könnten.
„Der größte Nachteil bei der Entwicklung einer neuen Malware besteht normalerweise darin, genügend Vertrauen bei anderen Akteuren zu gewinnen, aber bei dem Status von DukeEugene unter Kriminellen ist es sehr wahrscheinlich, dass dies für Hook kein Problem sein wird“, so Durando.