HOOK „Android“ kenkėjiškų programų variantas
Kibernetinio saugumo tyrėjai aptiko naują „Android“ bankininkystės Trojos arklio variantą, žinomą kaip HOOK, kuris dabar pasižymi išpirkos reikalaujančios programinės įrangos stiliaus apvalkalais, skirtais aukoms išvilioti. Tai žymi reikšmingą jo galimybių evoliuciją, pranokstančią tradicinę bankininkystės kenkėjišką programą.
Turinys
Išpirkos reikalaujančios programinės įrangos stiliaus perdengimo prievarta
Vienas ryškiausių naujausio varianto papildymų yra galimybė diegti viso ekrano išpirkos reikalaujančios programinės įrangos perdangą. Šioje perdangoje rodomas grasinantis pranešimas „ĮSPĖJIMAS“ kartu su dinamiškai iš komandų ir valdymo (C2) serverio gautu piniginės adresu ir išpirkos suma.
Pinigų išpirkos ekranas nuotoliniu būdu suaktyvinamas, kai C2 serveris siunčia komandą „ransome“, ir gali būti išjungtas, kai užpuolikas siunčia instrukciją „delete_ransome“.
Šaknys ERMAC bankininkystės Trojos arklyje
„HOOK“ laikomas tiesiogine bankininkystės Trojos arklio „ERMAC“, kurio šaltinio kodas anksčiau buvo nutekintas internete, atšaka. Kaip ir „ERMAC“, „HOOK“ labai priklauso nuo „Android“ pritaikymo neįgaliesiems paslaugų ir apgaulingų ekranų, kad pavogtų prisijungimo duomenis, automatizuotų finansinį sukčiavimą ir perimtų užkrėstų įrenginių kontrolę.
Išplėstinės šnipinėjimo ir išnaudojimo funkcijos
Be kredencialų vagystės, HOOK gali pasigirti įvairiomis įkyriomis funkcijomis. Jis gali:
- Siųskite SMS žinutes užpuoliko kontroliuojamais numeriais.
- Transliuokite tiesioginę aukos ekrano transliaciją.
- Fotografuokite vaizdus naudodami priekinę kamerą.
- Pavogti slapukus ir atkūrimo frazes, susietas su kriptovaliutų piniginėmis.
Šios funkcijos pabrėžia HOOK suderinamumą su šnipinėjimo programų galimybėmis, suteikdamos užpuolikams plačias stebėjimo ir vagysčių galimybes.
Nuotolinių komandų išplėtimas
Naujausia HOOK versija palaiko 107 nuotolines komandas ir 38 naujas funkcijas. Jos pagerina jos galimybes apgauti naudotojus ir rinkti slaptus duomenis.
Kai kurios iš žymiausių naujų komandų yra šios:
- „ransome“ – įrenginyje rodo išpirkos reikalaujančios programinės įrangos stiliaus perdangą
- delete_ransome – Pašalina išpirkos reikalaujančios programinės įrangos perdengimą
- takenfc – Rodo netikrą NFC nuskaitymo ekraną, kad užfiksuotų kortelės duomenis
- unlock_pin – Pateikia netikrą atrakinimo ekraną, kad pavogtų įrenginio PIN kodus arba šablonus
- „takencard“ – imituoja „Google Pay“, kad sukčiautų išviliodama kredito kortelių duomenis
- start_record_gesture – Naudoja permatomą perdangą, kad įrašytų naudotojo gestus
Didelio masto platinimo kanalai
Tyrėjai atsekė HOOK platinimą sukčiavimo svetainėse ir apgaulingose „GitHub“ saugyklose, kuriose saugomi kenkėjiški APK failai. „GitHub“ naudojimas kenkėjiškų programų platinimui nėra naujiena, tokios šeimos kaip ERMAC ir „Brokewell“ taip pat buvo platinamos per šią platformą, o tai rodo jos augantį populiarumą tarp kenkėjiškų veikėjų.
Ribos tarp kenkėjiškų programų kategorijų suliejimas
Sparčiai evoliucionuojantis virusas „HOOK“ atspindi nerimą keliančią mobiliųjų įrenginių grėsmių tendenciją: bankų Trojos arklių, šnipinėjimo programų ir išpirkos reikalaujančių programų technikų konvergenciją. Nuolat plėsdamas savo funkcijas ir plisdamas didelio masto kampanijomis, „HOOK“ kelia vis didesnę grėsmę finansų įstaigoms, įmonėms ir kasdieniams „Android“ vartotojams.
