HOOK Android ļaunprogrammatūras variants

Kiberdrošības pētnieki ir identificējuši jaunu Android banku Trojas zirga variantu, kas pazīstams kā HOOK, un kam tagad ir izspiedējvīrusa stila pārklājumi, kas paredzēti upuru izspiešanai. Tas iezīmē ievērojamu tā spēju attīstību, paplašinot to, pārsniedzot tradicionālās banku ļaunprogrammatūras iespējas.

Izspiedējvīrusa stila pārklājuma izspiešana

Viens no pārsteidzošākajiem jaunākās versijas papildinājumiem ir tā spēja izvietot pilnekrāna izspiedējvīrusa pārklājumu. Šis pārklājums parāda draudīgu ziņojumu “BRĪDINĀJUMS”, kam pievienota no komandu un vadības (C2) servera dinamiski izgūta maka adrese un izpirkuma summa.

Izspiešanas ekrāns tiek attālināti aktivizēts, kad C2 serveris nosūta komandu “ransome”, un to var aizvērt, kad uzbrucējs izdod instrukciju “delete_ransome”.

Saknes meklējamas banku Trojas zirgā ERMAC

HOOK tiek uzskatīts par tiešu banku Trojas zirga ERMAC atvasinājumu, kura pirmkods iepriekš tika nopludināts tiešsaistē. Līdzīgi kā ERMAC, HOOK lielā mērā paļaujas uz Android pieejamības pakalpojumiem un krāpnieciskiem pārklājuma ekrāniem, lai nozagtu akreditācijas datus, automatizētu finanšu krāpšanu un pārņemtu kontroli pār inficētām ierīcēm.

Uzlabotas spiegošanas un ekspluatācijas funkcijas

Papildus akreditācijas datu zādzībai HOOK lepojas ar dažādām uzmācīgām funkcijām. Tas var:

• Sūtiet īsziņas uz uzbrucēju kontrolētiem numuriem.
• Skatieties upura ekrāna tiešraidi.
• Uzņemiet attēlus, izmantojot priekšējo kameru.
• Nozagt sīkfailus un atkopšanas frāzes, kas saistītas ar kriptovalūtas makiem.

Šīs funkcijas izceļ HOOK konverģenci ar spiegprogrammatūras iespējām, sniedzot uzbrucējiem plašas uzraudzības un zādzību iespējas.

Attālināto komandu paplašināšana

Jaunākā HOOK versija atbalsta 107 attālinātās komandas ar 38 jaunām pievienotām iespējām. Tās uzlabo spēju maldināt lietotājus un ievākt sensitīvus datus.

Dažas no ievērojamākajām jaunajām komandām ir šādas:

• izpirkuma programma – ierīcē parāda izspiedējvīrusa stila pārklājumu
• delete_ransome – Noņem izspiedējvīrusa pārklājumu
• takenfc – Parāda viltotu NFC skenēšanas ekrānu, lai uztvertu kartes datus

• unlock_pin – parāda viltotu atbloķēšanas ekrānu, lai nozagtu ierīces PIN kodus vai shēmas

• takencard — atdarina Google Pay, lai izvilinātu kredītkaršu datus no pikšķerēšanas

• start_record_gesture – Izmanto caurspīdīgu pārklājumu, lai ierakstītu lietotāja žestus

Liela mēroga izplatīšanas kanāli

Pētnieki ir izsekojuši HOOK izplatību pikšķerēšanas vietnēs un krāpnieciskās GitHub krātuvēs, kurās tiek glabāti ļaunprātīgi APK faili. GitHub izmantošana ļaunprogrammatūras izplatīšanai nav nekas jauns, tādas ļaunprogrammatūras saimes kā ERMAC un Brokewell ir izplatītas arī caur šo platformu, demonstrējot tās pieaugošo popularitāti apdraudējumu dalībnieku vidū.

Robežas sapludināšana starp ļaunprogrammatūras kategorijām

HOOK straujā attīstība atspoguļo satraucošu tendenci mobilo ierīču apdraudējumu jomā: banku Trojas zirgu, spiegprogrammatūras un izspiedējvīrusu metožu konverģenci. Pastāvīgi paplašinot savas funkcijas un izplatoties plaša mēroga kampaņās, HOOK rada pieaugošu risku finanšu iestādēm, uzņēmumiem un ikdienas Android lietotājiem.