Rabattilbud med flere licenser
Trusseldatabase Mobil malware HOOK Android Malware-variant

HOOK Android Malware-variant

Med Mezo i Mobil malware
Oversæt til:

Cybersikkerhedsforskere har identificeret en ny variant af Android-banktrojanen kendt som HOOK, som nu har ransomware-lignende overlays designet til at afpresse ofre. Dette markerer en betydelig udvikling i dens muligheder og flytter den ud over traditionel bankmalware.

Ransomware-lignende overlay-afpresning

En af de mest slående tilføjelser i den seneste variant er dens evne til at implementere et ransomware-overlay i fuld skærm. Dette overlay viser en truende 'ADVARSEL'-meddelelse ledsaget af en dynamisk hentet wallet-adresse og et løsesumsbeløb fra kommando-og-kontrol-serveren (C2).

Afpresningsskærmen udløses eksternt, når C2-serveren sender kommandoen 'ransome', og kan afvises, når angriberen udsteder instruktionen 'delete_ransome'.

Rødder i ERMAC Banking Trojan

HOOK betragtes som en direkte udløber af ERMAC-banktrojanen, hvis kildekode tidligere er blevet lækket online. Ligesom ERMAC er HOOK i høj grad afhængig af Androids tilgængelighedstjenester og falske overlay-skærme for at stjæle legitimationsoplysninger, automatisere økonomisk svindel og få kontrol over inficerede enheder.

Avancerede spionage- og udnyttelsesfunktioner

Ud over tyveri af legitimationsoplysninger kan HOOK prale af en række påtrængende funktioner. Det kan:

  • Send SMS-beskeder til angriberkontrollerede numre.
  • Stream et live-feed af offerets skærm.
  • Tag billeder med frontkameraet.
  • Stjæl cookies og gendannelsesfraser knyttet til kryptovaluta-tegnebøger.

Disse funktioner fremhæver HOOKs konvergens med spyware-funktioner, hvilket giver angribere brede overvågnings- og tyverimuligheder.

Udvidelse af fjernkommandoer

Den seneste version af HOOK understøtter 107 fjernkommandoer med 38 nye funktioner. Disse forbedrer dens evne til at bedrage brugere og indsamle følsomme data.

Nogle af de mest bemærkelsesværdige nye kommandoer inkluderer:

  • ransome – Viser et ransomware-lignende overlay på enheden
  • delete_ransome – Fjerner ransomware-overlayet
  • takenfc – Viser en falsk NFC-scanningsskærm for at indsamle kortdata
  • unlock_pin – Viser en falsk oplåsningsskærm for at stjæle enhedens pinkoder eller mønstre
  • takencard – Efterligner Google Pay for at phishe for kreditkortoplysninger
  • start_record_gesture – Bruger et transparent overlay til at optage brugerbevægelser

Storskala distributionskanaler

Forskere har sporet HOOKs distribution til phishing-websteder og falske GitHub-lagre, der hoster ondsindede APK-filer. Brugen af GitHub til distribution af malware er ikke ny, familier som ERMAC og Brokewell er også blevet spredt via platformen, hvilket demonstrerer dens voksende popularitet blandt trusselsaktører.

Udvisker linjen mellem malwarekategorier

Den hurtige udvikling af HOOK afspejler en bekymrende tendens inden for mobile trusler: konvergensen af banktrojanere, spyware og ransomware-teknikker. Ved konstant at udvide sine funktioner og sprede sig gennem store kampagner udgør HOOK en eskalerende risiko for finansielle institutioner, virksomheder og almindelige Android-brugere.

Trending

Mest sete

Indlæser...