Araştırmacılar, tehdit aktörlerinin Android cihazları uzaktan kontrol etmesini sağlayan “Hook” olarak adlandırılan yeni bir malware (kötü amaçlı yazılım) keşfetti.
Geçtiğimiz günlerde Ermac ve BlackRock kötü amaçlı yazılımlarının geliştiricisi tarafından RAT özellikleri bulunan yeni “Hook” Android kötü amaçlı yazılımının duyurusu yapıldı. Geliştirici “Hook” yazılımını scratch ile sıfırdan yazdığını söylesede, araştırmacılar bunun doğru olmadığını Ermac ile kapsamlı kod çakışmaları olduğunu bildirdi. Araştırmacılar kod çakışmalarına rağmen Hook’un, Ermac’a göre daha yetenekli bir kötü amaçlı yazılım olduğunu duyurdu.
Hook’un sağladığı ek özelliklerden biri, yalnızca Ermac tarafından kullanılan HTTP trafiğine ek olarak gelen WebSocket iletişiminin tanıtılmasıdır. Ağ trafiği AES-256-CBC sabit kodlu anahtar kullanılarak şifrelenmektedir. Bununla birlikte en önemli özelliği tehdit aktörlerinin ihlal ettiği cihaz ile gerçek zamanlı iletişim kurarak, kullanıcılara ait kimlik bilgilerinin ve diğer hassas verilerin ele geçirilmesini sağlayan VNC aracıdır. Hook bu sayede Octo ve Hydra zararlı yazılımlarında olduğu gibi Cihaz Devri (DTO) işlevine sahiptir. Özetle tehdit aktörü kurbanın cihazını kendi cihazıymış gibi uzaktan kontrol edebilmektedir.
Şu anda Hook, farklı paket isimleri kullanılarak Google Chrome APK'sı olarak dağıtılmaktadır.
Hook genellikle finans ve bankacılık uygulamalarını hedef almaktadır. Kötü amaçlı yazılımın hedeflediği finansal uygulamaların birçoğu ABD, İspanya, Avustralya, Polonya, Kanada, Türkiye, Birleşik Krallık, Fransa, İtalya ve Portekiz'de bulunmaktadır.
Araştırmacılar, Hook kötü amaçlı yazılımı tarafından hedeflenen tüm Android uygulamalarını paylaştı. Raporda Hook tarafından hedef alınmış Türkiye’de finans ve bankacılık sektörlerinde hizmet gösteren 30’dan fazla firmanın yer aldığı gözlemlenmiştir.