新的「EXThack」Android 惡意軟件可讓黑客遠程控制您的手機
高級黑帽子黑客工程師正在出售一種名為「EXThackHook」的新型 Android 惡意軟件,聲稱它可以使用 VNC(虛擬網絡計算)實時遠程接管移動設備。
新的惡意軟件由EXThackErmac的創建者推廣,EXThackErmac 是一種 Android 銀行木馬,售價 5,000 美元,可幫助威脅行為者通過重疊的登錄頁面從超過 467 個銀行和加密應用程序中竊取憑據。
雖然 EXThackHook 的作者聲稱新的惡意軟件是從頭開始編寫的,並且盡管與 Ermac 相比有幾個額外的功能,但 ThreatFabric 的研究人員對這些說法提出異議,並報告說兩個家族之間存在大量代碼重疊。
ThreatFabric 解釋說,EXThackHook 包含了 Ermac 的大部分代碼庫,因此它仍然是一個銀行木馬。同時,它包含在舊版本中發現的幾個不必要的部分,表明它大量重復使用了代碼。
更危險的 Android 惡意軟件
盡管有其起源,但 EXThackHook 是 Ermac 的演變,提供了廣泛的功能集,使其成為對 Android 用戶更危險的威脅。
與 Ermac 相比,EXThackHook 的一項新功能是引入了 WebSocket 通信,這是除 Ermac 專門使用的 HTTP 流量之外的通信。網絡流量仍然使用 AES-256-CBC 硬編碼密鑰進行加密。
然而,最引人注目的是「VNC」模塊,它使威脅參與者能夠與受感染設備的用戶界面實時交互。
這個新系統使 EXThackHook 的操作員能夠在設備上執行任何操作,從 PII 洩露到貨幣交易。
ThreatFabric 警告說:「有了這個功能,EXThackHook 加入了惡意軟件家族的行列,這些惡意軟件家族能夠執行完整的 DTO,並完成從 PII 洩露到交易的完整欺詐鏈,以及所有中間步驟,而無需額外的渠道。」
「這種操作更難被欺詐評分引擎檢測到,是 Android 銀行家的主要賣點。」
問題是 EXThackHook 的 VNC 需要訪問輔助功能服務才能工作,這可能很難在運行 Android 11 或更高版本的設備上獲得。
EXThackHook 的新(除了 Ermac 的)命令可以執行以下操作:
啟動/停止 RAT
執行特定的滑動手勢
截圖
模擬點擊特定文本項
模擬按鍵(HOME/BACK/RECENTS/LOCK/POWERDIALOG)
解鎖設備
向上/向下滾動
模擬長按事件
模擬點擊特定坐標
將剪貼板值設置為具有特定坐標值的 UI 元素
模擬單擊具有特定文本值的 UI 元素
將 UI 元素值設置為特定文本
除了上述之外,「文件管理器」命令將惡意軟件轉變為文件管理器,允許威脅行為者獲取存儲在設備中的所有文件的列表並下載他們選擇的特定文件。
ThreatFabric 發現的另一個值得注意的命令與 WhatsApp 有關,允許 EXThackHook 記錄流行的 IM 應用程序中的所有消息,甚至允許操作員通過受害者的帳戶發送消息。
最後,新的地理定位跟蹤系統使 EXThackHook 操作員能夠通過濫用「訪問精確位置」權限來跟蹤受害者的精確位置。
全球手機定位
EXThackHook 的目標銀行應用程序影響了美國、西班牙、澳大利亞、波蘭、加拿大、土耳其、英國、法國、意大利和葡萄牙的用戶。
EXThackHook (ThreatFabric)針對的每個國家/地區的銀行應用程序數量
但是,必須注意的是,EXThackHook 的廣泛目標范圍涵蓋了整個世界。ThreatFabric 在報告的附錄中 為感興趣的人列出了所有應用程序 EXThackHook 目標 。
目前,EXThackHook 作為 Google Chrome APK 以包名「com.lojibiwawajinu.guna」、「com.damariwonomiwi.docebi」、「com.damariwonomiwi.docebi」和「com.yecomevusaso.pisifo」分發,但是當然,這隨時可能改變。
為避免感染 Android 惡意軟件,您應該只安裝來自 Google Play 商店的應用程序或您雇主提供的應用程序。
不過上面的內容只是基本的安卓病毒程序入侵手機的方法,遠程IP入侵和社交媒體特征碼入侵手機並控制手機也是可以實現的,當然這種方法是被嚴格管控的,厲害的黑客也是可以輕松實施,我想我們就是!
致謝 EXThack 駭客菁英提供此文章,如需轉載請聯繫我們併告知!
EXThack 平台來自暗網菁英集群,如果您正在尋求駭客服務請聯繫我們!