Вариант на зловреден софтуер за Android HOOK
Изследователи по киберсигурност са идентифицирали нов вариант на банковия троянски кон за Android, известен като HOOK, който вече включва наслагвания, подобни на ransomware, предназначени за изнудване на жертви. Това бележи значителна еволюция във възможностите му, изтласквайки го отвъд традиционния банков зловреден софтуер.
Съдържание
Изнудване с наслагване в стил ransomware
Едно от най-впечатляващите допълнения в най-новия вариант е възможността му да разположи наслагване на ransomware на цял екран. Това наслагване показва заплашително съобщение „ПРЕДУПРЕЖДЕНИЕ“, придружено от динамично извлечен адрес на портфейла и сума на откупа от командния и контролен (C2) сървър.
Екранът за изнудване се задейства дистанционно, когато C2 сървърът изпрати командата „ransome“ и може да бъде затворен, когато нападателят издаде инструкцията „delete_ransome“.
Корени в банковия троянец ERMAC
HOOK се счита за пряк разклонение на банковия троянец ERMAC, чийто изходен код преди това беше изтекъл онлайн. Подобно на ERMAC, HOOK разчита в голяма степен на услугите за достъпност на Android и измамническите наслагвания на екрани, за да краде идентификационни данни, да автоматизира финансови измами и да поеме контрола върху заразените устройства.
Разширени функции за шпионаж и експлоатация
Освен кражбата на идентификационни данни, HOOK може да се похвали с разнообразие от натрапчиви функции. Той може:
- Изпращайте SMS съобщения до контролирани от нападателя номера.
- Предавайте на живо изображение от екрана на жертвата.
- Заснемайте изображения с помощта на предната камера.
- Кражба на „бисквитки“ и фрази за възстановяване, свързани с портфейли с криптовалута.
Тези функции подчертават сближаването на HOOK с възможностите за шпионски софтуер, предоставяйки на нападателите широки възможности за наблюдение и кражба.
Разширяване на дистанционните команди
Най-новата версия на HOOK поддържа 107 отдалечени команди, с 38 новодобавени функции. Те подобряват способността му да заблуждава потребителите и да събира чувствителни данни.
Някои от най-забележителните нови команди включват:
- ransome – Показва наслагване в стил ransomware на устройството
- delete_ransome – Премахва наслагването на ransomware
- takenfc – Показва фалшив екран за NFC сканиране, за да заснеме данни от картата
- unlock_pin – Представя фалшив екран за отключване, за да открадне ПИН кодове или шаблони на устройството
- takencard – Имитира Google Pay, за да фишингира данни за кредитна карта
- start_record_gesture – Използва прозрачно наслагване за записване на потребителски жестове
Мащабни дистрибуторски канали
Изследователите са проследили разпространението на HOOK до фишинг уебсайтове и измамнически хранилища на GitHub, съдържащи злонамерени APK файлове. Използването на GitHub за разпространение на зловреден софтуер не е новост, семейства като ERMAC и Brokewell също са разпространени чрез платформата, което демонстрира нарастващата ѝ популярност сред злонамерените организации.
Размиване на границата между категориите зловреден софтуер
Бързата еволюция на HOOK отразява тревожна тенденция в мобилните заплахи: конвергенцията на банкови троянски коне, шпионски софтуер и техники за рансъмуер. С постоянно разширяване на функциите си и разпространение чрез мащабни кампании, HOOK представлява нарастващ риск за финансовите институции, предприятията и обикновените потребители на Android.
