新型Hook安卓银行木马曝光

关键要点

• NCC Group的研究人员发现Hack Android银行木马Hook是基于ERMAC后门源码开发的。
• Hook木马具有包括屏幕流媒体、用户界面交互、照片捕捉等38项新命令。
• 它能够利用SMS自我传播，并支持键击记录、Android辅助功能利用等攻击手段。
• 尽管Hook在四月被干扰，但其源码在不到一个月后即被出售，暗示可能出现新变种。

NCC Group的研究显示，新的是利用ERMAC后门的源码开发出来的。根据的报告，Hook不仅包含了ERMAC所使用的30条指令，还新增了多达38条命令。这些新命令包括屏幕流媒体、用户界面交互、设备接管、照片捕捉、与Google登录会话相关的cookie提取，以及针对加密货币钱包恢复种子的扩展目标。此外，Hook木马还可以通过向多个号码发送短信进行自我传播。

这两种木马变种的指挥和控制服务器大多位于俄罗斯、荷兰、英国、美国和德国。它们同样具备键击记录和利用Android辅助功能进行覆盖攻击的能力，以及剪贴板事件追踪功能。虽然Hook在四月受到干扰，但研究人员指出，其源码在不到一个月后被出售，可能预示着其他威胁行为者会开发出新的变种。

功能/命令 | Hook木马 | ERMAC
—|—|—
屏幕流媒体 | 是 | 否
用户界面交互 | 是 | 否
照片捕捉 | 是 | 否
cookie提取 | 是 | 否
自我传播 (SMS) | 是 | 否
键击记录 | 是 | 是
覆盖攻击 | 是 | 是

总结 ：随着Hook木马的出现及其复杂的命令功能，用户和组织须提高警惕并加强网络安全措施，以防止可能的攻击和数据泄露。