HOOK Android -haittaohjelmavariantti

Kyberturvallisuustutkijat ovat tunnistaneet uuden version Android-pankkitroijalaisesta nimeltä HOOK, joka sisältää nyt kiristysohjelmia muistuttavia peittokuvia uhrien kiristämiseen. Tämä merkitsee merkittävää kehitystä sen ominaisuuksissa ja vie sen perinteisten pankkihaittaohjelmien ulkopuolelle.

Kiristysohjelmatyyppinen päällekkäinen kiristys

Yksi uusimman version silmiinpistävimmistä lisäyksistä on sen kyky ottaa käyttöön koko näytön kiristysohjelmakerros. Tämä kerros näyttää uhkaavan VAROITUS-viestin sekä dynaamisesti noudetun lompakon osoitteen ja lunnaiden määrän komento- ja hallintapalvelimelta (C2).

Kiristysruutu laukeaa etänä, kun C2-palvelin lähettää 'lunnastus'-komennon, ja se voidaan sulkea, kun hyökkääjä antaa 'delete_ransome'-käskyn.

Juuret ERMAC-pankkitroijalaisessa

HOOKia pidetään suorana ERMAC-pankkitroijalaisen sivuhaarana, jonka lähdekoodi vuodettiin aiemmin verkkoon. Aivan kuten ERMAC, HOOK luottaa vahvasti Androidin esteettömyyspalveluihin ja vilpillisiin päällekkäisnäyttöihin varastaakseen tunnistetietoja, automatisoidakseen talouspetoksia ja ottaakseen tartunnan saaneiden laitteiden hallinnan.

Edistyneet vakoilu- ja hyväksikäyttöominaisuudet

Tunnistetietojen varastamisen lisäksi HOOKissa on useita haitallisia ominaisuuksia. Se voi:

• Lähetä tekstiviestejä hyökkääjän hallitsemiin numeroihin.
• Lähetä uhrin näytöstä suoraa lähetystä.
• Ota kuvia etukameralla.
• Varasta kryptovaluuttalompakoihin liittyviä evästeitä ja palautuslausekkeita.

Nämä toiminnot korostavat HOOKin ja vakoiluohjelmien välisiä yhteyksiä, mikä antaa hyökkääjille laajat valvonta- ja varkausvaihtoehdot.

Etäkomentojen laajennus

HOOKin uusin versio tukee 107 etäkomentoa ja 38 uutta ominaisuutta. Nämä parantavat sen kykyä huijata käyttäjiä ja kerätä arkaluonteisia tietoja.

Joitakin merkittävimpiä uusia komentoja ovat:

• ransome – Näyttää laitteella kiristysohjelmatyyppisen peittokuvan
• delete_ransome – Poistaa kiristysohjelmapeittokuvan
• takenfc – Näyttää väärennetyn NFC-skannausnäytön korttitietojen kaappaamiseksi

• unlock_pin – Näyttää väärennetyn lukituksen avausnäytön laitteen PIN-koodien tai kuvioiden varastamiseksi.

• takencard – Matkii Google Payta luottokorttitietojen kalastelussa

• start_record_gesture – Käyttää läpinäkyvää peittokuvaa käyttäjän eleiden tallentamiseen

Laajamittainen jakelukanava

Tutkijat ovat jäljittäneet HOOKin levityksen tietojenkalastelusivustoille ja vilpillisiin GitHub-arkistoon, jotka isännöivät haitallisia APK-tiedostoja. GitHubin käyttö haittaohjelmien levittämiseen ei ole uusi ilmiö, ja myös haittaohjelmaperheitä, kuten ERMAC ja Brokewell, on levitetty alustan kautta, mikä osoittaa sen kasvavan suosion uhkatoimijoiden keskuudessa.

Haittaohjelmaluokkien välisen rajan hämärtyminen

HOOKin nopea kehitys heijastaa mobiiliuhkien huolestuttavaa trendiä: pankkitroijalaisten, vakoiluohjelmien ja kiristysohjelmien tekniikoiden lähentymistä. Laajentamalla jatkuvasti ominaisuuksiaan ja leviämällä laajamittaisten kampanjoiden kautta HOOK aiheuttaa kasvavan riskin rahoituslaitoksille, yrityksille ja tavallisille Android-käyttäjille.