HOOK Android kártevő variáns

Kiberbiztonsági kutatók azonosították az Androidra épülő banki trójai vírus egy új, HOOK néven ismert változatát, amely zsarolóvírus-stílusú rétegeket tartalmaz, melyek célja az áldozatok zsarolása. Ez jelentős fejlődést jelent a képességeiben, és túlmutat a hagyományos banki rosszindulatú programokon.

Zsarolóvírus-stílusú rétegződés

A legújabb változat egyik legszembetűnőbb újítása a teljes képernyős zsarolóvírus-fedvény telepítésének képessége. Ez az overlay egy fenyegető „FIGYELMEZTETÉS” üzenetet jelenít meg, amelyhez a parancs-és-vezérlés (C2) szerverről dinamikusan lekért pénztárca cím és váltságdíj összege is tartozik.

A zsarolási képernyő távolról aktiválódik, amikor a C2 szerver elküldi a „ransome” parancsot, és eltüntethető, amikor a támadó kiadja a „delete_ransome” utasítást.

Az ERMAC banki trójai vírus gyökerei

A HOOK-ot az ERMAC banki trójai közvetlen leágazásának tekintik, amelynek forráskódja korábban kiszivárgott az interneten. Az ERMAC-hoz hasonlóan a HOOK is nagymértékben támaszkodik az Android akadálymentesítési szolgáltatásaira és a csalárd átfedő képernyőkre a hitelesítő adatok ellopásához, a pénzügyi csalások automatizálásához és a fertőzött eszközök feletti irányítás átvételéhez.

Fejlett kémkedési és kizsákmányolási funkciók

A hitelesítő adatok ellopásán túl a HOOK számos tolakodó funkcióval is büszkélkedhet. Képes:

• SMS üzenetek küldése a támadók által ellenőrzött számokra.
• Élő közvetítés az áldozat képernyőjéről.
• Készítsen képeket az előlapi kamerával.
• Lopj el sütiket és kriptovaluta-tárcákhoz kapcsolódó helyreállítási kifejezéseket.

Ezek a funkciók kiemelik a HOOK kémprogramokkal való konvergenciáját, széleskörű megfigyelési és lopási lehetőségeket kínálva a támadóknak.

Távoli parancsok bővítése

A HOOK legújabb verziója 107 távoli parancsot támogat, 38 újonnan hozzáadott képességgel. Ezek fokozzák a felhasználók megtévesztésére és az érzékeny adatok gyűjtésére való képességét.

Néhány a legfigyelemreméltóbb új parancsok közül:

• ransome – Egy zsarolóvírus-stílusú réteget jelenít meg az eszközön
• delete_ransome – Eltávolítja a zsarolóvírus-fedvényt
• takenfc – Egy hamis NFC-szkennelési képernyőt jelenít meg a kártyaadatok rögzítéséhez

• unlock_pin – Hamis feloldóképernyőt jelenít meg az eszköz PIN-kódjainak vagy mintáinak ellopására.

• takencard – A Google Pay szolgáltatásait utánozza, és hitelkártya-adatokat lop el.

• start_record_gesture – Átlátszó réteget használ a felhasználói gesztusok rögzítéséhez

Nagyméretű terjesztési csatornák

A kutatók a HOOK terjesztését adathalász weboldalakra és csalárd GitHub-tárházakra vezették vissza, amelyek rosszindulatú APK-fájlokat tároltak. A GitHub használata rosszindulatú programok terjesztésére nem új keletű, olyan családok, mint az ERMAC és a Brokewell, szintén a platformon keresztül terjedtek, ami egyre növekvő népszerűségét mutatja a kiberfenyegető szereplők körében.

Elmosódik a határ a rosszindulatú programok kategóriái között

A HOOK gyors fejlődése a mobilfenyegetések aggasztó trendjét tükrözi: a banki trójai programok, kémprogramok és zsarolóvírus-technikák konvergenciáját. Funkcióinak folyamatos bővítésével és nagyszabású kampányokon keresztüli terjedésével a HOOK egyre növekvő kockázatot jelent a pénzügyi intézmények, a vállalatok és a mindennapi Android-felhasználók számára.