黑客新闻 安卓用户要小心 新的具有RAT功能的Hook恶意软件出现了

BlackRock和ERMAC安卓银行木马背后的威胁行为者已经释放了另一个名为Hook的租赁恶意软件，它引入了访问存储在设备中的文件和创建远程互动会话的新功能。

ThreatFabric在与《黑客新闻》分享的一份报告中，将Hook描述为一种新颖的ERMAC分叉，广告上说它以每月7000美元的价格出售，同时具有 "其前辈的所有功能"。

"荷兰网络安全公司说："此外，它还为其武库增加了远程访问工具（RAT）的能力，加入了Octo和Hydra等家族的行列，它们能够执行完整的设备接管（DTO），并完成一个完整的欺诈链，从PII渗出到交易，包括所有的中间步骤，而不需要额外的通道。

该恶意软件所针对的大多数金融应用程序都位于美国、西班牙、澳大利亚、波兰、加拿大、土耳其、英国、法国、意大利和葡萄牙。

Hook是一个被称为DukeEugene的威胁行为者的杰作，代表了ERMAC的最新演变，ERMAC于2021年9月首次披露，是基于另一个名为Cerberus的木马，其源代码在2020年被泄露。

"ERMAC在能力和特性方面一直落后于Hydra和Octo，"ThreatFabric研究员Dario Durando通过电子邮件告诉The Hacker News。"这在威胁者中也是众所周知的，他们更喜欢这两个家族，而不是ERMAC"。

"对于现代安卓银行家来说，缺乏某种RAT能力是一个主要问题，因为它没有提供执行设备接管（DTO）的可能性，而DTO是最有可能成功的欺诈方法，而且不会被欺诈评分引擎或欺诈分析师发现。这很可能是触发这个新的恶意软件变体发展的原因"。

与其他同类的安卓恶意软件一样，该恶意软件滥用安卓的无障碍服务API，进行覆盖式攻击，并获取各种敏感信息，如联系人、通话记录、按键、双因素认证（2FA）令牌，甚至WhatsApp信息。

它还扩大了应用清单，包括荷兰银行和巴克莱银行，而恶意样本本身则伪装成谷歌Chrome网络浏览器，欺骗毫无戒心的用户下载恶意软件。

在将被添加到Hook的其他主要功能中，包括远程查看和与受感染设备的屏幕互动的能力，获取文件，从加密货币钱包中提取种子短语，以及跟踪手机的位置，模糊了间谍软件和银行恶意软件之间的界限。

ThreatFabric说，迄今为止观察到的Hook神器处于测试阶段，但指出它可能是通过网络钓鱼活动、Telegram渠道或以Google Play商店的dropper应用程序的形式交付。

"创建一个新的恶意软件的主要缺点通常是获得其他行为者的足够信任，但以DukeEugene在犯罪分子中的地位，这很可能不会成为Hook的一个问题，"Durando说。