Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Variant de programari maliciós d'Android HOOK

Variant de programari maliciós d'Android HOOK

El Mezo el Programari maliciós mòbil
Traduir a:

Investigadors de ciberseguretat han identificat una nova variant del troià bancari d'Android conegut com a HOOK, que ara inclou superposicions d'estil ransomware dissenyades per extorquir les víctimes. Això marca una evolució significativa en les seves capacitats, que el superposa més enllà del programari maliciós bancari tradicional.

Extorsió superposada d’estil ransomware

Una de les incorporacions més sorprenents de l'última variant és la seva capacitat de desplegar una capa de ransomware a pantalla completa. Aquesta capa mostra un missatge amenaçador d'"AVÍS", acompanyat d'una adreça de moneder recuperada dinàmicament i l'import del rescat des del servidor de comandament i control (C2).

La pantalla d'extorsió s'activa de forma remota quan el servidor C2 envia l'ordre 'ransome' i es pot desactivar quan l'atacant executa la instrucció 'delete_ransome'.

Arrels al troià bancari ERMAC

HOOK es considera una branca directa del troià bancari ERMAC, el codi font del qual es va filtrar anteriorment en línia. De la mateixa manera que ERMAC, HOOK depèn en gran mesura dels serveis d'accessibilitat d'Android i de les pantalles superposades fraudulentes per robar credencials, automatitzar el frau financer i prendre el control dels dispositius infectats.

Funcions avançades d’espionatge i explotació

Més enllà del robatori de credencials, HOOK compta amb una varietat de funcions intrusives. Pot:

  • Enviar missatges SMS a números controlats per atacants.
  • Transmet en directe la pantalla de la víctima.
  • Captura imatges amb la càmera frontal.
  • Robar galetes i frases de recuperació vinculades a moneders de criptomonedes.

Aquestes funcions destaquen la convergència de HOOK amb les capacitats de programari espia, oferint als atacants àmplies opcions de vigilància i robatori.

Expansió de comandaments remots

La darrera versió de HOOK admet 107 ordres remotes, amb 38 capacitats noves. Aquestes milloren la seva capacitat d'enganyar els usuaris i recopilar dades sensibles.

Algunes de les noves ordres més destacades inclouen:

  • ransome – Mostra una capa d'estil ransomware al dispositiu
  • delete_ransome – Elimina la capa de ransomware
  • takenfc – Mostra una pantalla d'escaneig NFC falsa per capturar dades de targetes
  • unlock_pin – Presenta una pantalla de desbloqueig falsa per robar PIN o patrons del dispositiu
  • takencard – Imita Google Pay per obtenir dades de targetes de crèdit amb phishing
  • start_record_gesture – Utilitza una capa transparent per enregistrar els gestos de l'usuari

Canals de distribució a gran escala

Els investigadors han rastrejat la distribució de HOOK fins a llocs web de phishing i repositoris fraudulents de GitHub que allotgen fitxers APK maliciosos. L'ús de GitHub per a la distribució de programari maliciós no és nou, famílies com ara ERMAC i Brokewell també s'han estès a través de la plataforma, cosa que demostra la seva creixent popularitat entre els actors d'amenaces.

Desdibuixant la línia entre les categories de programari maliciós

La ràpida evolució de HOOK reflecteix una tendència preocupant en les amenaces mòbils: la convergència de troians bancaris, programari espia i tècniques de ransomware. En expandir constantment les seves funcions i propagar-se a través de campanyes a gran escala, HOOK representa un risc creixent per a les institucions financeres, les empreses i els usuaris quotidians d'Android.

Tendència

Més vist

Carregant...