Trojan HookBot to nowe zagrożenie, które czyha na użytkowników smartfonów z Androidem. Złośliwe oprogramowanie, wykryte w styczniu 2023 r., zaatakuje między innymi polskich użytkowników aplikacji bankowych.
CSIRT KNF, czyli Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego, ostrzega przed nowym trojanem HookBot, który został odkryty w styczniu 2023 r. Na jego ślad eksperci od bezpieczeństwa trafili dzięki ogłoszeniu, które pojawiło się na forach przestępczych. Oferowano w nim nowy malware mobilny.
Analiza CSIRT KNF wykazała, że autor wpisu odpowiada już za inne, znane rodziny złośliwego oprogramowania – BlackRock oraz ERMAC, które były aktywne w polskiej cyberprzestrzeni i powodowały straty u klientów polskich banków. Specjaliści zdobyli nowe oprogramowanie i dokonali jego analizy.
Trojan HookBot jest złośliwym oprogramowaniem, którego celem jest uzyskanie dostępu do prywatnych informacji użytkownika, takich jak hasła do bankowości internetowej, poczty elektronicznej, portfeli kryptowalutowych czy też popularnych serwisów społecznościowych.
W aktualnej wersji HookBota jego twórcy przygotowali rekordowe 772 formularze podszywające się pod legalne aplikacje, z czego 24 pochodzą z polskiej domeny. Wśród przygotowanych formularzy podszywających się pod aplikację z domeny .pl znalazły się następujące marki:
Przestępcy przygotowali także formularze dla najpopularniejszych serwisów społecznościowych jak Twitter, Facebook czy Instagram. Na celowniku złośliwego oprogramowania znajdują się także aplikację obsługujące portfele kryptowalutowe, takie jak Cryptopay, MyWallet czy BitPay.
HookBot dystrybuowany jest przez fałszywe aplikacje, które podszywają się pod legalne, często popularne oprogramowanie. Jako przykład, CSIRT KNF podaje sytuację, w której HookBot na początku przedstawia się jako przeglądarka Google Chrome.
Po zainfekowaniu urządzenia, złośliwe oprogramowanie może uzyskać dostęp do funkcji systemowych pozwalających na śledzenie i przechwytywanie poufnych informacji.
Wykonując inżynierię wsteczną, analitycy CSIRT KNF odkryli, jakie zadania ma wykonać HookBot. Jednym z nich jest tzw. eskalacja uprawnień, czyli proces polegający na uzyskaniu przez złośliwe oprogramowanie przywilejów, które nie są nadawane standardowo.
HookBot dla eskalacji uprawnień wykorzystuje usługę dostępności (ang. Accessibility Services), czyli funkcje przeznaczone dla osób z niepełnosprawnościami, mające ułatwić korzystanie z urządzenia.
Nowością w porównaniu do innych rodzin złośliwego oprogramowania, nawet wcześniejszych rodzin pochodzących od tego samego dewelopera, jest obsługa WhatsApp. Malware potrafi odczytywać, pisać i wysyłać wiadomości w tym komunikatorze. Właściwy atak odbywa się w momencie, gdy ofiara zainfekowanego urządzenia uruchomi aplikację, która znajduje się na liście celów oszustów.
Złośliwe oprogramowanie, wykorzystując systemowy komponent WebView, wyświetli fałszywą stronę logowania do usługi, którą uruchomił użytkownik (jest to tzw. mechanizm nakładek – ang. overlay). Dla przykładu, jeżeli na liście celów przestępców znajduje się aplikacja bankowa, a użytkownik, który zainfekował swoje urządzenie, postanowi zalogować się do bankowości, nad oryginalną aplikacją wyświetli mu się fałszywe okno logowania. Jeżeli nie zorientuje się, że wyświetlone ekran nie jest prawdziwa aplikacja banku i wprowadzi swoje dane logowania, zostaną one przesłane do serwera kontrolowanego przez złośliwe oprogramowanie.
W przypadku, gdy użytkownik stosuje mechanizm dwuskładnikowego uwierzytelniania z wykorzystaniem SMS-ów, otrzymane kody SMS mogą zostać odczytane i również przesłane do przestępców.
Trojan HookBot stanowi poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkownika. W celu ochrony przed zainfekowaniem CSIRT KNF radzi:
Więcej szczegółów znajduje się w raporcie z analizy technicznej, przygotowanej przez CSIRT KNF.
Zobacz: Nigeryjski przekręt wciąż skuteczny. Polka straciła 4500 zl
Zobacz: Netflix pułapka. Jeden błąd i tracisz grube pieniądze
Źródło zdjęć: Shutterstock, CSIRT KNF
Źródło tekstu: CSIRT KNF
