Cyberkriminelle bieten laut einer Analyse von ThreatFabric derzeit eine neue Schadsoftware für Android namens Hook an. Die Malware wird damit beworben, dass sie in der Lage sein soll, über eine VNC-Verbindung ein Smartphone in Echtzeit aus der Ferne zu steuern, wie BleepingComputer berichtet.
Vertrieben wird Hook laut ThreatFabric von den Hintermännern des Android-Banking-Trojaners Ermac. Er ist für 5000 Dollar pro Monat erhältlich und soll Bedrohungsakteuren helfen, Anmeldedaten von 467 unterschiedlichen Banking- und Kryptowährungs-Apps zu stehlen.
Die Sicherheitsforscher widersprechen dem Bericht zufolge allerdings der Aussage des Entwicklers von Hook, wonach die Malware eine vollständige Neuentwicklung sein soll. Sie fanden bei ihrer Analyse heraus, dass Hook einen großen Teil der Codebasis von Ermac nutzt. Grundsätzlich sei Hook somit weiterhin ein Banking-Trojaner. Es gebe sogar unnützen Code aus älteren Ermac-Varianten.
Unterm Strich sei Hook jedoch eine gefährlichere Weiterentwicklung. Dazu zählen die Forscher eine WebSocket-Kommunikation zusätzlich zum von Ermac genutzten verschlüsselten HTTP-Datenverkehr. Wichtigste Neuerung sei jedoch das Virtual-Network-Computing-Modul (VNC). Es erlaube Interaktionen mit der Benutzeroberfläche eines gekaperten Geräts in Echtzeit.
„Mit dieser Funktion gehört Hook zu den Malware-Familien, die die vollständige Kontrolle über ein Geräte übernehmen und eine vollständige Betrugskette vom Auslesen persönlicher Daten bis zur Transaktion ausführen können, mit allen Zwischenschritten“, warnt ThreatFabric. „Diese Vorgehensweise ist schwerer zu erkennen und das wichtigste Verkaufsargument für eine Android-Banking-Malware.“
Allerdings muss Hook, wie andere Schadprogramme auch, eine wichtige Hürde nehmen. Die VNC-Funktion benötigen die Berechtigungen der Bedienungshilfen, die vor allem unter Android 11 und neuer von Google eingeschränkt werden.
Der Analyse zufolge wird Hook derzeit weltweit verbreitet. Die beliebtesten Ziele sind aktuell die USA, Spanien, Australien, Polen, Kanada, die Türkei, Großbritannien, Frankreich, Italien und Portugal. Zudem gelang es Bedrohungsakteuren bisher nicht, Hook in den offiziellen Android-Marktplatz Play Store einzuschleusen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…