มัลแวร์ตัวใหม่บน Android ‘Hook’ ทำให้แฮ็กเกอร์ remote ควบคุมโทรศัพท์ได้จากระยะไกล

พบมัลแวร์ตัวใหม่บน Android ที่มีชื่อว่า 'Hook' สามารถ remote เพื่อควบคุมอุปกรณ์มือถือจากระยะไกลได้แบบเรียลไทม์โดยการใช้ VNC (virtual network computing)

โดยตัวมัลแวร์ถูกสร้างโดยผู้สร้าง Ermac ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลธนาคารบน Android ที่จะช่วยให้ผู้โจมตีสามารถขโมยข้อมูล credentials จากแอปธนาคาร และ crypto แอปพลิเคชันกว่า 467 รายการผ่านหน้า login ปลอม

คุณสมบัติของ Hook เมื่อเทียบกับ Ermac คือการเปิด WebSocket ที่นอกเหนือจากการรับส่งข้อมูล HTTP ที่ Ermac ใช้ โดยเฉพาะการรับส่งข้อมูลเครือข่ายยังคงถูก encrypt โดยการใช้คีย์ AES-256-CBC

จุดเด่นเพิ่มเติมคือ module 'VNC' ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้แบบ real-time

Hook ติดอันดับต้นๆ ของกลุ่มมัลแวร์ที่สามารถดำเนินการโจมตีแบบ Device Take-Over (DTO) ได้เต็มรูปแบบ เนื่องจากระบบใหม่นี้ช่วยให้ผู้โจมตีที่ใช้งาน Hook สามารถดำเนินการใดๆก็ได้บนอุปกรณ์ ตั้งแต่ขโมยข้อมูลส่วนตัว ไปจนถึงข้อมูลการทำธุรกรรมทางการเงิน ซึ่งการดำเนินการลักษณะนี้ตรวจจับได้ยากกว่า ทำให้ถือเป็นจุดขายหลักสำหรับมัลแวร์ประเภทนี้

แต่มีประเด็นสำคัญอีกอย่างหนึ่งคือ VNC ของ Hook ต้องการการเข้าถึงบริการ Accessibility Service ซึ่งอาจทำได้ยากขึ้นบนอุปกรณ์ที่ใช้ Android 11 หรือใหม่กว่า

คำสั่งใหม่ของ Hook (นอกเหนือจาก Ermac)

  • Start/stop RAT
  • ถ่ายภาพหน้าจอ
  • จำลองการคลิกที่รายการข้อความที่กำหนด
  • Simulate การกดปุ่ม (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
  • Unlock อุปกรณ์
  • Scroll up/down
  • Simulate การกดแบบค้าง
  • Simulate การคลิกที่กำหนดเฉพาะ
  • ตั้งค่า clipboard UI ด้วยค่าเฉพาะเจาะจง
  • Simulate การคลิก UI ด้วยข้อความเฉพาะ
  • ตั้งค่าองค์ประกอบ UI เป็นข้อความเฉพาะ

นอกเหนือจากข้างต้น คำสั่ง "File Manager" จะเปลี่ยนมัลแวร์ให้เป็นตัวจัดการไฟล์ ทำให้ผู้โจมตีสามารถเข้าถึงรายการไฟล์ทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ และดาวน์โหลดไฟล์ที่ต้องการได้

คำสั่งสำคัญอีกคำสั่งที่ ThreatFabric พบเกี่ยวข้องกับ WhatsApp ที่ทำให้ Hook สามารถบันทึกข้อความทั้งหมดในแอพ IM (Instant Messaging) ที่ได้รับความนิยมและยังช่วยให้ผู้โจมตีสามารถส่งข้อความผ่านบัญชีของเหยื่อได้ ในส่วนระบบการติดตามตำแหน่งใหม่ก็ช่วยให้ Hook สามารถติดตามตำแหน่งที่แม่นยำของเหยื่อได้โดยใช้สิทธิ์ "Access Fine Location"

การกำหนดเป้าหมายทั่วโลก

เป้าหมายของ Hook คือแอปพลิเคชันธนาคารต่างๆ ซึ่งคาดว่าจะส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา สเปน ออสเตรเลีย โปแลนด์ แคนาดา ตุรกี สหราชอาณาจักร ฝรั่งเศส อิตาลี และโปรตุเกส

ปัจจุบัน Hook มีการแพร่กระจายผ่านทาง Google Chrome APK ภายใต้ชื่อแพ็คเกจดังนี้

"com.lojibiwawajinu.guna"

"com.damariwonomiwi.docebi"

"Com.damariwonomiwi.docebi"

"com.yecomevusaso.pisifo"

คำแนะนำ

  1. ติดตั้งแอพจาก Google Play Store หรือ provider จัดหาให้เท่านั้น
  2. อัปเดตเวอร์ชั่น Android 11 หรือใหม่กว่า

ที่มา : bleepingcomputer