HOOKBOT a new mobile malware

 

HOOKBOT a new mobile malware 

 

Surveys show that more than 90% of the population now owns a mobile phone, with smartphones running the Android operating system being the most popular. Criminals know this and are eager to exploit this fact to steal sensitive user data, which can ultimately be used for financial gain. An example of this is the mobile malware known as HookBot, which was discovered in January 2023 and is the subject of this article.

It all started with the identification of an advertisement claiming to sell a new mobile malware (Figure 1). Analysis showed that the author of the post was already responsible for other well-known malware families - BlackRock and ERMAC - which were active in Polish cyberspace and caused losses to Polish bank customers. In view of the above, the KNF CSIRT team took action, acquired an application belonging to the new malware family and performed its analysis. Below is a brief description of the scope of the HookBot malware, and at the end of the article we have included a detailed technical analysis for those who wish to delve deeper into the technical aspects of its operation.

 

Figure 1 - An advertisement posted by the author of HookBot on the criminal forum.

 

The HookBot Trojan is malware designed to gain access to a user's private information, such as passwords to online banking, email accounts, cryptocurrency wallets or popular social networking sites. In the current version of the malware in question, the creators have prepared a record 772 forms impersonating legitimate applications, 24 of them come from the Polish domain. Among the prepared forms impersonating an application from the .pl domain, we identified the following brands (Figure 2)):

  • Allegro
  • Bank BPH
  • Bank Polskiej Spółdzielczości
  • Santander Bank Polska
  • Ceneo
  • Rossmann
  • EnveloBank
  • Euro Bank
  • Fakturownia
  • Idea Bank
  • iFirm
  • ING Bank Śląski
  • mBank
  • Millennium Bank
  • Nest Bank
  • Noble Bank
  • Novum Bank
  • Orange Polska
  • PKO BP
  • Raiffeisen Bank

Figure 2 - Forms impersonating applications of the .pl domain

 

The criminals also prepared forms for the most popular social networks (Fig. 3):

  • Twitter
  • Facebook
  • Instagram

Figure 3 - Examples of fake applications impersonating popular social networks

 

The malware also targets applications that support cryptocurrency wallets, such as:

  • Cryptopay
  • MyWallet
  • BitPay

A full list of forms used can be found in the technical analysis report. HookBot is distributed by fake applications that masquerade as legitimate, often popular software. For example, the HookBot in question first presents itself as a Google Chrome browser (Figure 4).

 

 

Figure 4 - HookBot malware masquerading as the Google Chrome application.

 

 

Once the device is infected, the malware can access system functions to track and capture sensitive information. Through reverse engineering, CSIRT KNF analysts have identified a number of functions that the malware can perform. One of these is what is known as privilege escalation, a process by which the malware gains privileges that are not granted by default. HookBot uses so-called Accessibility Services (Figure 5) for privilege escalation. These are features designed for people with dissabilities to make the device easier to use.

 

Figure 5 - From the left: Attempted access to the Accessibility feature by malware. Privileges gained through privilege escalation.

 

 

What is new compared to other malware families, even previous families from the same developer, is the support for WhatsApp application. The malware can read, write and send messages in this messenger. The process of monetising the infection takes place when the victim of an infected device launches an application that is on the malware's target list. The malware uses the system's WebView component to display a fake login page for the service the user has launched (this is known as the overlay mechanism) (Figure 6). For example, if a banking application is on the criminals' target list and the user who has infected his device decides to open banking application, a fake login window will be displayed on top of the original application. If the user does not realise that this is not the real banking application and enters their credentials, it will be sent to a server controlled by the malware. If the user has a SMS-based two-factor authentication mechanism, the received SMS codes can be read and also sent to the attackers.

  Figure 6 - Examples of fake overlays using bank logos

The HookBot Trojan poses a serious threat to data security and user privacy. To protect yourself from infection, the CSIRT KNF advises you to:

  • download applications from the official Google Play store,
  • check the permissions required by the application before installing it (this information is available in the Google Play store),
  • check which applications have been granted accessibility services and disable those that are not necessary,
  • update the software on your device regularly.

Below is a report on the technical analysis of the malware's operation. The content includes information on the details of how each component works, as well as full list of forms used to impersonate legitimate applications. We encourage you to read it!

Click here to download the full report:

HOOKBOT_CSIRT_KNF_ENG.pdf

Read more
HOOKBOT nowa rodzina złośliwego oprogramowania mobilnego

HOOKBOT nowa rodzina złośliwego oprogramowania mobilnego

 

Z badań opinii publicznej wynika, że już ponad 90% społeczeństwa posiada telefon komórkowy, a największą popularnością cieszą się smartfony z systemem operacyjnym Android. Wiedzą o tym również przestępcy i chętnie wykorzystują ten fakt celem wykradania wrażliwych danych użytkowników, które docelowo pozwalają im na osiąganie zysków finansowych. Przykładem takiego działania przestępców jest odkryte w styczniu 2023 roku złośliwe oprogramowanie mobilne o nazwie HookBot, którego dotyczy ten artykuł.

Wszystko rozpoczęło się od zidentyfikowania ogłoszenia mówiącego o chęci sprzedaży nowego malware mobilnego (rys. 1). Analiza wykazała, że autor wpisu odpowiada już za inne, znane rodziny złośliwego oprogramowania - BlackRock oraz ERMAC, które były aktywne w polskiej cyberprzestrzeni i powodowały straty u klientów polskich banków. W związku z powyższym zespół CSIRT KNF podjął działania zmierzające do pozyskania aplikacji należącej do nowej rodziny malware
i przeprowadził jej analizę. Poniżej przedstawiamy krótki opis zakresu działania złośliwego oprogramowania HookBot, na końcu artykułu zamieściliśmy dokładną analizę techniczną dla osób chcących bardziej zagłębić się w techniczne aspekty jego funkcjonowania.

Rys. 1 – Ogłoszenie zamieszczone przez autora HookBota na forach. przestępczych.

 

Trojan HookBot jest złośliwym oprogramowaniem, którego celem jest uzyskanie dostępu do prywatnych informacji użytkownika, takich jak hasła do bankowości internetowe, poczty elektronicznej, portfeli kryptowalutowych, czy też popularnych serwisów społecznościowych. W aktualnej wersji omawiane złośliwego oprogramowania, twórcy przygotowali rekordowe 772 formularze podszywające się pod legalne aplikacje, z czego 24 pochodzą z polskiej domeny. Wśród przygotowanych formularzy podszywających się pod aplikację z domeny .pl znalazły się następujące marki (Rys. 2):

  • Allegro
  • Bank BPH
  • Bank Polskiej Spółdzielczości
  • Santander Bank Polska
  • Ceneo
  • Rossmann
  • EnveloBank
  • Euro Bank
  • Fakturownia
  • Idea Bank
  • iFirma
  • ING Bank Śląski
  • mBank
  • Bank Millennium
  • Nest Bank
  • Noble Bank
  • Novum Bank
  • Orange Polska
  • PKO BP 
  • Raiffeisen Bank 

 

Rys. 2 – Formularze podszywające się pod aplikację z domeny .pl

 

Przestępcy przygotowali także formularze dla najpopularniejszych serwisów społecznościowych m.in. (Rys. 3):

  • Twitter
  • Facebook
  • Instagram

 

Rys. 3 – Przykłady fałszywych aplikacji podszywających się pod znane portale społecznościowe

 

Na celowniku złośliwego oprogramowania znajdują się także aplikację obsługujące portfele kryptowalutowe, takie jak:

  • Cryptopay
  • MyWallet
  • BitPay

Pełna lista wykorzystywanych formularzy znajduję się w raporcie technicznym z analizy.

HookBot dystrybuowany jest przez fałszywe aplikacje, które podszywają się pod legalne, często popularne  oprogramowanie. Dla przykładu, omawiany HookBot na początku przedstawia się jako przeglądarka Google Chrome (rys. 4).

Rys. 4 – Malware HookBot podszywający się pod aplikację Google Chrome

 

Po zainfekowaniu urządzenia, złośliwe oprogramowanie może uzyskać dostęp do funkcji systemowych pozwalających na śledzenie i przechwytywanie poufnych informacji. Wykonując inżynierię wsteczną, analitycy CSIRT KNF rozpoznali szereg funkcjonalności, które mają zostać wykonane przez złośliwe oprogramowanie. Jedną z nich jest tzw. eskalacji uprawnień, czyli proces polegający na uzyskaniu przez złośliwe oprogramowanie przywilejów, które nie są nadawane standardowo. HookBot dla eskalacji uprawnień wykorzystuje tzw. usługę dostępności (ang. Accessibility Services) (rys. 5). Funkcjonalność przeznaczona dla osoby z niepełnosprawnościami, mająca ułatwić korzystanie z urządzenia.

Rys. 5 – Od lewej: Próba uzyskania dostępu do funkcji „Dostępność” przez złośliwe oprogramowanie. Uprawnienia uzyskane w wyniku eskalacji uprawnień.

 

Nowością w porównaniu do innych rodzin złośliwego oprogramowania, nawet wcześniejszych rodzin pochodzących od tego samego developera, jest obsługa oprogramowania WhatsApp. Malware potrafi odczytywać, pisać i wysyłać wiadomości w tym komunikatorze. Proces monetyzacji infekcji odbywa się w momencie, gdy ofiara zainfekowanego urządzenia uruchomi aplikację, która znajduje się na liście celów oszustów. Złośliwe oprogramowanie, wykorzystując systemowy komponent WebView, wyświetli fałszywą stronę logowania do usługi, którą uruchomił użytkownik (jest to tzw. mechanizm nakładek - ang. overlay)(rys.6). Dla przykładu, jeżeli na liście celów przestępców znajduje się aplikacja bankowa, a użytkownik który zainfekował swoje urządzenie postanowi zalogować się do bankowości, nad oryginalną aplikacją wyświetli mu się fałszywe okno logowania. Jeżeli nie zorientuje się, że wyświetlone ekran nie jest prawdziwa aplikacja banku i wprowadzi swoje dane logowania, zostaną one przesłane do serwera kontrolowanego przez złośliwe oprogramowanie. W przypadku, gdy użytkownik posiada mechanizm dwuskładnikowego uwierzytelniania z wykorzystaniem SMS-ów, otrzymane kody SMS mogą zostać odczytane i również przesłane do przestępców.

Rys. 6 – Przykłady fałszywych nakładek (ang. overlay) wykorzystujących logotypy banków

 

Trojan HookBot stanowi poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkownika. W celu ochrony przed zainfekowaniem CSIRT KNF radzi:

  • pobierać aplikacje z oficjalnego sklepu Google Play,
  • przed instalacją zweryfikować, jakie uprawnienia będą wymagane przez aplikację (informacja ta jest dostępna w sklepie Google Play),
  • weryfikować, jakie aplikacje posiadają przyznany dostęp do usług dostępności i wyłączyć te, które nie są wykorzystywane,
  • regularnie aktualizować oprogramowanie na swoich urządzeniach.

 

Poniżej przedstawiamy raport z analizy technicznej funkcjonowania złośliwego oprogramowania. W treści znajdują się informacje odnośnie szczegółów działania poszczególnych komponentów, a także pełne listy formularzy wykorzystywanych do podszywania się pod legalne aplikacje. Zachęcamy do lektury!

 

Pobierz raport techniczny:

HOOKBOT_CSIRT_KNF_PL.pdf

 

Read more