HOOK Androidi pahavara variant
Küberturvalisuse uurijad on tuvastanud Androidi pangandustrooja uue variandi, mida tuntakse kui HOOK ja mis sisaldab nüüd lunavaralaadseid katteid, mis on loodud ohvrite väljapressimiseks. See tähistab olulist arengut selle võimetes, nihutades seda tavapärasest panganduspahavarast kaugemale.
Sisukord
Lunavaralaadne pealiskaudne väljapressimine
Üks silmatorkavamaid täiendusi uusimas variandis on võime rakendada täisekraanil lunavara kattekihti. See kate kuvab ähvardava teate „HOIATUS” koos dünaamiliselt hangitud rahakoti aadressi ja lunaraha summaga käsklus- ja kontrollserverist (C2).
Väljapressimisekraan käivitatakse eemalt, kui C2-server saadab käsu „ransome” ja selle saab sulgeda, kui ründaja annab käsu „delete_ransome”.
Juured ERMACi pangandustroojalas
HOOKi peetakse pangandustrooja ERMAC otseseks haruks, mille lähtekood lekitati varem internetti. Sarnaselt ERMACile tugineb HOOK suuresti Androidi ligipääsetavuse teenustele ja petturlikele ekraanipiltidele, et varastada volitusi, automatiseerida finantspettusi ja haarata kontroll nakatunud seadmete üle.
Täiustatud spionaaži- ja ekspluateerimisfunktsioonid
Lisaks volituste vargusele on HOOKil mitmeid pealetükkivaid funktsioone. See saab:
- Saatke SMS-sõnumeid ründaja kontrolli all olevatele numbritele.
- Vaata ohvri ekraani otseülekannet.
- Jäädvustage pilte esikaameraga.
- Varasta krüptovaluuta rahakottidega seotud küpsiseid ja taastamisfraase.
Need funktsioonid rõhutavad HOOKi ühilduvust nuhkvara võimetega, pakkudes ründajatele laialdasi jälgimis- ja vargusvõimalusi.
Kaugkäskluste laiendamine
HOOKi uusim versioon toetab 107 kaugkäsklust ja 38 uut funktsiooni. Need suurendavad selle võimet kasutajaid petta ja tundlikke andmeid koguda.
Mõned tähelepanuväärsemad uued käsud on järgmised:
- ransome – kuvab seadmes lunavaralaadse pealiskihi
- delete_ransome – Eemaldab lunavara kattekihi
- takenfc – Näitab võltsitud NFC-skannimise ekraani kaardiandmete jäädvustamiseks
- unlock_pin – Kuvab võltsitud avamiskuva, et varastada seadme PIN-koode või mustreid
- takencard – jäljendab Google Payd krediitkaardiandmete väljapüüdmiseks
- start_record_gesture – Kasutab läbipaistvat pealiskihti kasutaja žestide salvestamiseks
Suuremahulised turustuskanalid
Teadlased on jälginud HOOKi levitamist andmepüügiveebisaitide ja petturlike GitHubi hoidlate kaudu, mis majutavad pahatahtlikke APK-faile. GitHubi kasutamine pahavara levitamiseks pole uus nähtus, platvormi kaudu on levinud ka selliseid pahavara perekondi nagu ERMAC ja Brokewell, mis näitab selle kasvavat populaarsust ohtude seas.
Pahavara kategooriate vahelise piiri hägustamine
HOOKi kiire areng peegeldab mobiiliohtude murettekitavat suundumust: pangatroojalaste, nuhkvara ja lunavaratehnikate koondumist. Oma funktsioonide pideva laiendamise ja ulatuslike kampaaniate kaudu levimise kaudu kujutab HOOK endast üha suurenevat ohtu finantsasutustele, ettevõtetele ja igapäevastele Androidi kasutajatele.
