Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Variante del malware Android HOOK

Variante del malware Android HOOK

Entro Mezo nel Malware per dispositivi mobili
Traduci in:

I ricercatori di sicurezza informatica hanno identificato una nuova variante del trojan bancario Android noto come HOOK, ora dotato di overlay in stile ransomware progettati per estorcere denaro alle vittime. Questo segna un'evoluzione significativa nelle sue capacità, spingendolo oltre i tradizionali malware bancari.

Estorsione overlay in stile ransomware

Una delle novità più sorprendenti dell'ultima variante è la possibilità di visualizzare un'immagine ransomware sovrapposta a schermo intero. Questa sovrapposizione mostra un minaccioso messaggio di "ATTENZIONE", accompagnato da un indirizzo wallet e dall'importo del riscatto recuperati dinamicamente dal server di comando e controllo (C2).

La schermata di estorsione viene attivata da remoto quando il server C2 invia il comando 'ransome' e può essere ignorata quando l'aggressore invia l'istruzione 'delete_ransome'.

Radici nel trojan bancario ERMAC

HOOK è considerato una derivazione diretta del trojan bancario ERMAC, il cui codice sorgente era già stato divulgato online. Proprio come ERMAC, HOOK si affida in larga misura ai servizi di accessibilità e alle schermate fraudolente di Android per rubare credenziali, automatizzare frodi finanziarie e prendere il controllo dei dispositivi infetti.

Funzionalità avanzate di spionaggio e sfruttamento

Oltre al furto di credenziali, HOOK vanta una serie di funzionalità intrusive. Può:

  • Invia messaggi SMS ai numeri controllati dagli aggressori.
  • Trasmetti in streaming un feed live dello schermo della vittima.
  • Cattura le immagini utilizzando la fotocamera frontale.
  • Rubare cookie e frasi di recupero collegate ai portafogli di criptovalute.

Queste funzioni evidenziano la convergenza di HOOK con le capacità spyware, offrendo agli aggressori ampie possibilità di sorveglianza e furto.

Espansione dei comandi remoti

L'ultima versione di HOOK supporta 107 comandi remoti, con 38 nuove funzionalità aggiunte. Queste ne potenziano la capacità di ingannare gli utenti e raccogliere dati sensibili.

Tra i nuovi comandi più importanti troviamo:

  • ransome – Visualizza una sovrapposizione in stile ransomware sul dispositivo
  • delete_ransome – Rimuove l'overlay del ransomware
  • takenfc – Mostra una schermata di scansione NFC falsa per catturare i dati della carta
  • unlock_pin – Presenta una schermata di sblocco falsa per rubare i PIN o i pattern del dispositivo
  • takencard – Imita Google Pay per ottenere i dettagli della carta di credito
  • start_record_gesture – Utilizza una sovrapposizione trasparente per registrare i gesti dell'utente

Canali di distribuzione su larga scala

I ricercatori hanno ricondotto la distribuzione di HOOK a siti web di phishing e repository GitHub fraudolenti che ospitano file APK dannosi. L'uso di GitHub per la distribuzione di malware non è una novità: anche famiglie di malware come ERMAC e Brokewell sono state diffuse tramite la piattaforma, a dimostrazione della sua crescente popolarità tra gli autori delle minacce.

La linea di demarcazione tra le categorie di malware diventa più sfumata

La rapida evoluzione di HOOK riflette una tendenza preoccupante nelle minacce mobili: la convergenza di trojan bancari, spyware e tecniche ransomware. Ampliando costantemente le sue funzionalità e diffondendosi attraverso campagne su larga scala, HOOK rappresenta un rischio crescente per istituti finanziari, aziende e utenti Android.

Tendenza

I più visti

Caricamento in corso...