安卓用戶小心！具木馬功能惡意軟體Hook問世

編譯／鄭智懷

荷蘭資安廠商ThreatFabric日前發表一份研究報告，發現安卓（Android）金融惡意軟體ERMAC開發者近期推出一款名為Hook的新型惡意軟體，在前者的基礎上增加遠端存取木馬（RAT）等新功能，從而擁有更強的破壞力。

ThreatFabric指出，儘管開發者DukeEugene聲稱Hook為全新的金融惡意軟體產品，但其程式碼、加密方式基本承襲全球前三大流行的惡意軟體之一的ERMAC─另外兩款分別為Hydra與ExobotCompact。

就功能而言，Hook除了具備ERMAC所有的能力，最重大的改變是增加遠端存取木馬，得以執行完整的設備接管（DTO）並完成完整的詐騙鍊，同時也使其更難被相關監測工具發現。

此外，Hook還具備從加密錢包竊取密碼提示詞、盜用通訊軟體WhatsApp、追蹤地理定位（geolocation）等功能，模糊了傳統間諜軟體和銀行惡意軟體之間的界限。

在傳播的方式上，Hook透過偽造成Google Chrome網頁，如com.lojibiwawajinu.guna、com.damariwonomiwi.doceb和 com.yecomevusaso.pisifo，欺騙受害者下載，或是其他像是網路釣魚活動、通訊軟體與Google Play商店等模式散播，感染受害者設備。

而在針對的目標上，Hook主要以美國、西班牙、澳洲、波蘭、加拿大、土耳其、英國、法國、義大利和葡萄牙等國家的機構；近期還新增加了南美洲、亞洲、非洲和中東國家的組織為攻擊目標。

ThreatFabric的資安研究員Dario Durando認為，創建新款惡意軟體的主要缺點通常是難以獲得其他惡意行為者的信任，不過考量DukeEugene在犯罪分子中的地位，Hook或許能克服類似的問題，快速擠身主流惡意軟體之一。ThreatFabric的的報告也提到，由於功能的改良，該惡意軟體得以趕上競爭對手Hydra與ExobotCompact，進一步提高ERMAC惡意軟體家族在網路犯罪市場的市占率。

資料來源：ThreatFabric、The Hacker News

瀏覽 869 次