HOOK 안드로이드 악성코드 변종

사이버 보안 연구원들이 HOOK이라는 안드로이드 뱅킹 트로이목마의 새로운 변종을 발견했습니다. 이 변종은 피해자를 갈취하기 위해 랜섬웨어 스타일의 오버레이를 특징으로 합니다. 이는 기존 뱅킹 맬웨어를 넘어선, HOOK의 기능 면에서 상당한 발전을 의미합니다.

랜섬웨어 스타일 오버레이 협박

최신 변종에서 가장 눈에 띄는 추가 기능 중 하나는 전체 화면 랜섬웨어 오버레이를 배포하는 기능입니다. 이 오버레이는 위협적인 '경고' 메시지와 함께 명령제어(C2) 서버에서 동적으로 수집된 지갑 주소와 몸값 금액을 표시합니다.

협박 화면은 C2 서버가 '랜섬웨어' 명령을 보낼 때 원격으로 작동하며, 공격자가 'delete_ransome' 명령을 내리면 해제될 수 있습니다.

ERMAC 뱅킹 트로이 목마의 뿌리

HOOK은 소스 코드가 온라인에 유출된 ERMAC 뱅킹 트로이 목마의 직접적인 파생물로 여겨집니다. ERMAC과 마찬가지로 HOOK은 안드로이드의 접근성 서비스와 사기성 오버레이 화면을 활용하여 사용자 인증 정보를 훔치고, 금융 사기를 자동화하며, 감염된 기기의 제어권을 장악합니다.

고급 스파이 및 악용 기능

HOOK은 신원 정보 도용 외에도 다양한 침입 기능을 제공합니다. 다음과 같은 기능이 있습니다.

• 공격자가 제어하는 번호로 SMS 메시지를 보냅니다.
• 피해자의 화면을 라이브로 스트리밍합니다.
• 전면 카메라를 사용하여 이미지를 캡처합니다.
• 암호화폐 지갑에 연결된 쿠키와 복구 문구를 훔칩니다.

이러한 기능은 HOOK과 스파이웨어 기능의 융합을 강조하여 공격자에게 광범위한 감시 및 도난 옵션을 제공합니다.

원격 명령 확장

최신 버전의 HOOK은 107개의 원격 명령을 지원하며, 38개의 새로운 기능이 추가되었습니다. 이를 통해 사용자를 속이고 민감한 데이터를 수집하는 능력이 향상됩니다.

가장 주목할 만한 새로운 명령은 다음과 같습니다.

• 랜섬웨어 – 장치에 랜섬웨어 스타일 오버레이를 표시합니다.
• delete_ransome – 랜섬웨어 오버레이를 제거합니다.

대규모 유통 채널

연구원들은 HOOK의 유포 경로를 피싱 웹사이트와 악성 APK 파일을 호스팅하는 사기성 GitHub 저장소로 추적했습니다. GitHub를 악성코드 유포에 이용하는 것은 새로운 일이 아니며, ERMAC 및 Brokewell과 같은 악성코드군도 GitHub를 통해 유포되어 위협 행위자들 사이에서 GitHub의 인기가 높아지고 있음을 보여줍니다.

맬웨어 범주 간 경계 모호화

HOOK의 급속한 진화는 모바일 위협의 우려스러운 추세, 즉 뱅킹 트로이 목마, 스파이웨어, 랜섬웨어 기법의 융합을 반영합니다. HOOK은 지속적으로 기능을 확장하고 대규모 캠페인을 통해 확산됨에 따라 금융 기관, 기업, 그리고 일반 안드로이드 사용자에게 점점 더 큰 위험을 초래합니다.