Varianta malwaru pro Android HOOK
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali novou variantu bankovního trojského koně pro Android známého jako HOOK, která nyní obsahuje překryvné vrstvy podobné ransomwaru určené k vydírání obětí. To představuje významný vývoj jejích schopností a posouvá ji nad rámec tradičního bankovního malwaru.
Obsah
Vydírání ve stylu ransomwaru
Jedním z nejvýraznějších vylepšení v nejnovější variantě je možnost nasadit celoobrazovkové překryvné okno s ransomwarem. Toto překryvné okno zobrazuje výhružnou zprávu „VAROVÁNÍ“ doprovázenou dynamicky načtenou adresou peněženky a výší výkupného ze serveru velitelství a řízení (C2).
Obrazovka s žádostí o vydírání se na dálku spustí, když server C2 odešle příkaz „ransome“, a lze ji zavřít, když útočník vydá instrukci „delete_ransome“.
Kořeny v bankovním trojském koni ERMAC
HOOK je považován za přímou odnož bankovního trojského koně ERMAC, jehož zdrojový kód byl dříve zveřejněn online. Podobně jako ERMAC se i HOOK silně spoléhá na služby usnadnění přístupu systému Android a podvodné překryvné obrazovky, aby ukradl přihlašovací údaje, automatizoval finanční podvody a získal kontrolu nad infikovanými zařízeními.
Pokročilé funkce špionáže a zneužívání
Kromě krádeže přihlašovacích údajů se HOOK může pochlubit řadou rušivých funkcí. Může:
- Odesílejte SMS zprávy na čísla ovládaná útočníkem.
- Streamujte živý přenos z obrazovky oběti.
- Pořizujte snímky pomocí předního fotoaparátu.
- Ukradněte soubory cookie a obnovovací fráze propojené s kryptoměnovými peněženkami.
Tyto funkce zdůrazňují konvergenci HOOKu se spywarovými možnostmi a útočníkům poskytují široké možnosti sledování a krádeže.
Rozšíření vzdálených příkazů
Nejnovější verze HOOK podporuje 107 vzdálených příkazů s 38 nově přidanými funkcemi. Ty vylepšují jeho schopnost klamat uživatele a shromažďovat citlivá data.
Mezi nejvýznamnější nové příkazy patří:
- ransomware – Zobrazí na zařízení překryvnou vrstvu ve stylu ransomwaru
- delete_ransome – Odstraní překryvnou vrstvu ransomwaru
- takenfc – Zobrazuje falešnou obrazovku s NFC skenováním pro zachycení dat z karty
- unlock_pin – Zobrazí falešnou obrazovku pro odemčení, aby bylo možné odcizit PINy nebo vzory zařízení
- takencard – Napodobuje Google Pay a získává údaje o kreditní kartě phishingem
- start_record_gesture – Používá průhlednou vrstvu k záznamu uživatelských gest
Velkoobjemové distribuční kanály
Výzkumníci vysledovali distribuci malwaru HOOK na phishingových webových stránkách a podvodných repozitářích GitHub, které hostují škodlivé soubory APK. Využívání GitHubu k distribuci malwaru není nové, rodiny jako ERMAC a Brokewell se také šířily prostřednictvím platformy, což dokazuje její rostoucí popularitu mezi aktéry hackerských útoků.
Stírání hranice mezi kategoriemi malwaru
Rychlý vývoj kybernetické hrozby HOOK odráží znepokojivý trend v oblasti mobilních hrozeb: konvergenci bankovních trojských koní, spywaru a ransomwarových technik. Neustálým rozšiřováním svých funkcí a šířením prostřednictvím rozsáhlých kampaní představuje kybernetická hrozba pro finanční instituce, podniky i běžné uživatele systému Android rostoucí riziko.
