Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware HOOK Android Malware-variant

HOOK Android Malware-variant

Tegen Mezo in Mobiele malware
Vertalen naar:

Cybersecurityonderzoekers hebben een nieuwe variant van de Android banking trojan HOOK geïdentificeerd, die nu ransomware-achtige overlays bevat die bedoeld zijn om slachtoffers af te persen. Dit markeert een significante evolutie in de mogelijkheden en maakt het gebruik ervan veel geavanceerder dan traditionele banking malware.

Ransomware-stijl overlay-afpersing

Een van de meest opvallende toevoegingen in de nieuwste variant is de mogelijkheid om een ransomware-overlay over het volledige scherm te plaatsen. Deze overlay toont een dreigende 'WAARSCHUWING'-melding, vergezeld van een dynamisch opgehaald wallet-adres en losgeldbedrag van de command-and-control (C2)-server.

Het afpersingsscherm wordt op afstand geactiveerd wanneer de C2-server de opdracht 'ransome' verzendt en kan worden gesloten wanneer de aanvaller de instructie 'delete_ransome' geeft.

Wortels in ERMAC Banking Trojan

HOOK wordt beschouwd als een directe uitloper van de ERMAC banking trojan, waarvan de broncode eerder online is gelekt. Net als ERMAC maakt HOOK intensief gebruik van de toegankelijkheidsdiensten en frauduleuze overlay-schermen van Android om inloggegevens te stelen, financiële fraude te automatiseren en de controle over geïnfecteerde apparaten over te nemen.

Geavanceerde spionage- en exploitatiefuncties

Naast diefstal van inloggegevens beschikt HOOK over een aantal indringende functies. Het kan:

  • Stuur sms-berichten naar door de aanvaller gecontroleerde nummers.
  • Stream een livestream van het scherm van het slachtoffer.
  • Maak foto's met de camera aan de voorzijde.
  • Cookies en herstelzinnen stelen die gekoppeld zijn aan cryptocurrency-wallets.

Deze functies benadrukken de convergentie van HOOK met spyware-mogelijkheden, waardoor aanvallers uitgebreide opties voor toezicht en diefstal krijgen.

Uitbreiding van afstandsbedieningen

De nieuwste versie van HOOK ondersteunt 107 opdrachten op afstand, met 38 nieuwe mogelijkheden. Deze vergroten de mogelijkheden om gebruikers te misleiden en gevoelige gegevens te verzamelen.

Enkele van de meest opvallende nieuwe opdrachten zijn:

  • ransome – Geeft een ransomware-achtige overlay weer op het apparaat
  • delete_ransome – Verwijdert de ransomware-overlay
  • takenfc – Toont een nep NFC-scanscherm om kaartgegevens vast te leggen
  • unlock_pin – Geeft een vals ontgrendelscherm weer om apparaat-PIN's of -patronen te stelen
  • takencard – Imiteert Google Pay om creditcardgegevens te phishen
  • start_record_gesture – Gebruikt een transparante overlay om gebruikersgebaren op te nemen

    • Grootschalige distributiekanalen

    Onderzoekers hebben de verspreiding van HOOK herleid tot phishingwebsites en frauduleuze GitHub-repositories die schadelijke APK-bestanden hosten. Het gebruik van GitHub voor de verspreiding van malware is niet nieuw; ook families zoals ERMAC en Brokewell zijn via het platform verspreid, wat de groeiende populariteit ervan onder cybercriminelen aantoont.

    Het vervagen van de grens tussen malwarecategorieën

    De snelle evolutie van HOOK weerspiegelt een verontrustende trend in mobiele bedreigingen: de convergentie van bankingtrojans, spyware en ransomware. Door de voortdurende uitbreiding van de functionaliteit en de verspreiding via grootschalige campagnes vormt HOOK een toenemend risico voor financiële instellingen, bedrijven en alledaagse Android-gebruikers.

    Trending

    Meest bekeken

    Bezig met laden...