Trwa atak na telefony. Polska w niechlubnej czołówce

Nowe szkodliwe oprogramowanie "Hook" na smartfony z Androidem pozwala zdalnie kontrolować zainfekowane telefony. Badacze zwracają uwagę, że spora część część kodu jest zbieżna z trojanem bankowym Ermac - wbrew zapewnieniom samego twórcy. Wśród 10 krajów najczęściej atakowanych przez Hook, Polska znajduje się obecnie na 4 miejscu.

Serwis Bleeping Computer zwraca uwagę na ustalenia badaczy bezpieczeństwa z Threeat Fabric, którzy ostrzegają o nowym szkodliwym oprogramowaniu na Androida. Chodzi o malware Hook, który - jak się okazuje - dzieli sporą część kodu ze znanym trojanem bankowym Ermac. Jego autor deklaruje, że Hook został "napisany od zera", ale specjaliści ustalili, że to naginanie faktów (zapewne celem zysku), bo znaczna część aplikacji jest wręcz kopią kodu trojana bankowego.

Nie zmienia to oczywiście faktu, że Hook jest nowym i większym zagrożeniem na smartfony z Androidem niż znany Ermac. Nowością jest między innymi obsługiwana komunikacja przez protokół WebSocket przy zachowaniu szyfrowania ruchu. Najważniejszą zmianą względem pierwowzoru jest jednak "moduł VNC", dzięki któremu atakujący może w czasie rzeczywistym zdalnie kontrolować smartfon ofiary. Celem oprogramowania Hook są aplikacje bankowe w telefonach. Polska znajduje się na 4 pozycji w niechlubnym rankingu. Hook atakuje u nas ponad 40 programów.

W konsekwencji możliwe jest między innymi zdalne kontrolowanie aplikacji, odblokowywanie urządzenia czy symulowanie kliknięć dowolnych elementów. Badacze mówią także o dostępie do menedżera plików, co skutkuje uzyskaniem listy wszystkich dokumentów z pamięci telefonu. Możliwe jest również śledzenie lokalizacji telefonu ofiary po uzyskaniu dostępu do właściwych uprawnień.

Bleeping Computer wyjaśnia, że w tym momencie szkodliwe programowanie Hook na Androida trafia głównie jako zaszyte w aplikacji "Google Chrome APK", w praktyce funkcjonującej jako nazwa dla kilku pakietów, w tym "com.lojibiwawajinu.guna", "com.damariwonomiwi.docebi", "com.damariwonomiwi.docebi" oraz "com.yecomevusaso.pisifo". Naturalnie trzeba mieć świadomość, że równolegle dystrybucja może się także odbywać poprzez kod innych zainfekowanych aplikacji. Pobieranie aplikacji na Androida warto więc ograniczyć do oficjalnych źródeł.