Lad os analysere Android HookBOT
Android HookBOT er en malware der er designet til Android Smartphones. Den indeholder en sværm af komplekse funktioner som bl.a. realtidsmonitorering, keylogging, VNC og flere end 600 særlige funktioner rettet mod finansielle apps herunder Danske Bank. For 3-4 måneder siden blev source koden til HookBOT lækket, og er nu offentligt tilgængelig. Det har øget aktivitet fra it-kriminelle der har taget HookBOT ind og nu misbruger den til at kompromittere Android mobiler. Samtidig fortsætter bagmanden med at sælge HookBOT som en MaaS (Malware as a Service).
Hookbot har været sat til salg siden januar 2023 af en trusselsaktør der går under navnet "DukeEugene". Den præsenteres som værende en videreudvikling af en anden Android malware familie kendt som "ERMAC". HookBOT binder sig ind i en C&C hvorfra høstede data og online devices kan administreres. Login til C&C panel kan ses herunder. Panelet understøtter Engelsk, Kinesisk og Russisk.
Med adgang til panelet kan denne MaaS tilbyde en nem "builder" der kan bruges til at bygge nye APKs, som så på forskellige vis kan distribueres til Android Smartphone. Det er legende nemt at konfiguere den nye HookBOT med de funktioner der ønskes:
Flere end 650 standardiserede "injects"
HookBOT kommer med såkaldte "injects" designet mod flere end 650 præ-definerede mål, som typisk er banker, webshops, og populære online-services som Twitter, Facebook og Instagram. Derudover høster den kryptovaluta fra eksempelvis: Cryptopay, MyWallet, Oxigen, Paxful, BitPay, Leumi osv.
Blandt bank apps finder vi bl.a. funktioner rettet mod Barclays, ING, Arabbank, BBVA, Erstebank, Bankwest, HSBC, Cooperativebank, Suncorp, Lloyds, HaliFax, Volksbank, Santander, Danske Bank, Unicredit, Scotiabank, ANZ m.fl.
Af apps er den f.eks. målrettet mod Pizzahut, PayPal, RobinHood, Revolut, PayDay, YouTube, Twitter m.fl.
Den indeholder derudover funktionalitet, hvor den kan hente billeder, gennemføre kald, VNC fjernstyring, omdirigering af SMS beskeder, afsende SMS beskeder, viderestilling af opkald, sende push beskeder, lokationsdata, tilføj-, slet- og hent kontakter, injekte indhold i mobil browseren, slette apps, læse Gmail, åbne et link, opnå administrator rettigheder, tage skærmdump, keylogging m.v
Duke Eugene beskriver yderligere funktioner således i forbindelse med hans opslag om salg af løsningen på darkweb forums:
Ved kørsel vil den bl.a. forsøge at opnå adgang til følgende rettigheder på det pågældende android device, defineret i "AndroidManifest.xml":
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.ACTION_MANAGE_OVERLAY_PERMISSION
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.DISABLE_KEYGUARD
android.permission.FOREGROUND_SERVICE
android.permission.GET_ACCOUNTS
android.permission.GET_CLIPS
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.QUERY_ALL_PACKAGES
android.permission.QUICKBOOT_POWERON
android.permission.READ_CALL_LOG
android.permission.READ_CLIPS
android.permission.READ_CONTACTS
android.permission.READ_EXTERNAL_STORAGE
android.permission.READ_PHONE_NUMBERS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_LAUNCH_BROADCASTS
android.permission.RECEIVE_SMS
android.permission.REQUEST_DELETE_PACKAGES
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.SEND_SMS
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
android.permission.WRITE_CLIPS
android.permission.WRITE_CONTACTS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.GET_INSTALLED_APPS
Den gør brug af følgende APIs:
android.provider.Settings.canDrawOverlays
android.provider.Settings$System.canWrite
android.content.Context.getApplicationContext
android.content.Context.getSystemService
android.app.NotificationManager.isNotificationPolicyAccessGranted
android.content.Context.getApplicationContext
android.content.Context.getSystemService
android.content.Context.getPackageName
android.os.PowerManager.isIgnoringBatteryOptimizations
Al kommunikation med den definerede C&C server sker over TCP port 3434. Den sender JSON objekter som er krypteret med AES/CBC (Cipher Block Chaining) over WebSocket der indeholder høstet data og oplysninger om status på smartphonen.
At HookBOT source koden er blevet lækket gør det nemt for IT-kriminelle at anvende denne datatyv men samtidig også modificere den med nye funktioner og generelle forbedringer. Kilden kode er struktureret som følgende:
Kildekoden til HookBOT er lækket, og kan bl.a. findes på følgende GitHub:
https://github.com/0xperator/hookbot_source#readme
Omfattende HookBOT aktivitet
At denne Android datatyv er blevet populær hos de it-kriminelle kan ses af det aktive misbrug der finder sted. I diagrammet herunder ses et HookBOT cluster, som har flere komponenter og installationer tilknyttet:
Et andet HookBOT cluster er gengivet i følgende diagram:
I begge tilfælde er der overlap til anden malware og ransomware. Det er ikke unormalt, da denne type uønsket indhold hostes på servere og i netværk, hvor de kan være vanskelige at få det fjernet og rapportere abuse, fordi det er en kalkuleret risiko for hosting udbyderen. Der ses bl.a. historisk overlap til Gozi/ISFB og Cerber.
IoCs
Jeg har herunder samlet IoCs, som er relateret til HookBOT, og som man med fordel kan overveje, at blokere i sin firewall, router, cloud eller anden løsning (saniteret).
176.100.42[.]11
5.42.199[.]22
91.92.249[.]18
161.35.235[.]125
91.92.245[.]
80
178.23.190[.]21
91.215.85[.]153
20.39.184[.]218
199.101.135[.]49
87.98.185[.]14
94.156.64[.]181
app-unsivap[.]com.kz
bravevikingser[.]xyz
uodkboueawujb8euodkboueawujb8e.canawrx[.]com
9ucnuacw9lfmfx39ucnuacw9lfmfx3.cpd[.]capital
pari-usdt-hediye[.]xyz
Sample hash (SHA256):
fec316401667b5076a93fd4c1357711390cd79eeb581e644e3b8b9e7a465504a
Øvrige analyser/tekniske oplysninger:
https://www.threatfabric.com/blogs/hook-a-new-ermac-fork-with-rat-capabilities
https://cebrf.knf.gov.pl/komunikaty/artykuly-csirt-knf/362-ostrzezenia/858-hookbot-a-new-mobile-malware