Wariant złośliwego oprogramowania HOOK na Androida
Badacze cyberbezpieczeństwa zidentyfikowali nową odmianę trojana bankowego na Androida, znaną jako HOOK, która teraz wykorzystuje nakładki w stylu ransomware, służące do wyłudzania pieniędzy od ofiar. To znaczący krok naprzód w jego możliwościach, wykraczający poza tradycyjne bankowe oprogramowanie złośliwe.
Spis treści
Wymuszenie w stylu ransomware
Jedną z najbardziej rzucających się w oczy nowości w najnowszej wersji jest możliwość wdrożenia pełnoekranowej nakładki ransomware. Nakładka wyświetla groźny komunikat „OSTRZEŻENIE” wraz z dynamicznie pobieranym adresem portfela i kwotą okupu z serwera poleceń i kontroli (C2).
Ekran wymuszenia jest uruchamiany zdalnie, gdy serwer C2 wysyła polecenie „okup” i może zostać odrzucony, gdy atakujący wyda polecenie „delete_ransome”.
Korzenie w trojanie bankowym ERMAC
HOOK jest uważany za bezpośrednią pochodną trojana bankowego ERMAC, którego kod źródłowy wyciekł wcześniej do internetu. Podobnie jak ERMAC, HOOK w dużym stopniu wykorzystuje usługi ułatwień dostępu Androida i fałszywe ekrany nakładkowe, aby wykradać dane uwierzytelniające, automatyzować oszustwa finansowe i przejmować kontrolę nad zainfekowanymi urządzeniami.
Zaawansowane funkcje szpiegostwa i eksploatacji
Oprócz ochrony przed kradzieżą danych uwierzytelniających, HOOK oferuje szereg inwazyjnych funkcji. Może:
- Wysyłaj wiadomości SMS na numery kontrolowane przez atakujących.
- Transmisja na żywo ekranu ofiary.
- Rób zdjęcia za pomocą przedniej kamery.
- Kradnij ciasteczka i frazy odzyskiwania powiązane z portfelami kryptowalut.
Funkcje te podkreślają zbieżność HOOK z możliwościami oprogramowania szpiegującego, dając atakującym szerokie możliwości nadzoru i kradzieży.
Rozszerzenie poleceń zdalnych
Najnowsza wersja HOOK obsługuje 107 poleceń zdalnych i 38 nowych funkcji. Zwiększają one możliwości oszukiwania użytkowników i gromadzenia poufnych danych.
Do najważniejszych nowych poleceń należą:
- ransome – wyświetla na urządzeniu nakładkę w stylu ransomware
- delete_ransome – usuwa nakładkę ransomware
- tookfc – pokazuje fałszywy ekran skanowania NFC w celu przechwycenia danych karty
- unlock_pin – wyświetla fałszywy ekran odblokowania, umożliwiający kradzież kodów PIN lub wzorów urządzenia
- tookcard – naśladuje Google Pay, aby wyłudzać dane kart kredytowych
- start_record_gesture – używa przezroczystej nakładki do rejestrowania gestów użytkownika
Kanały dystrybucji na dużą skalę
Badacze wyśledzili dystrybucję HOOK-a na stronach phishingowych i w fałszywych repozytoriach GitHub, w których znajdowały się złośliwe pliki APK. Wykorzystanie GitHub do dystrybucji złośliwego oprogramowania nie jest niczym nowym – rodziny takie jak ERMAC i Brokewell również rozprzestrzeniały się za pośrednictwem tej platformy, co świadczy o jej rosnącej popularności wśród cyberprzestępców.
Zacieranie się granic między kategoriami złośliwego oprogramowania
Szybka ewolucja HOOK-a odzwierciedla niepokojący trend w zagrożeniach mobilnych: konwergencję trojanów bankowych, oprogramowania szpiegującego i ransomware. Stale rozwijając swoje funkcje i rozprzestrzeniając się za pośrednictwem kampanii na dużą skalę, HOOK stanowi rosnące zagrożenie dla instytucji finansowych, przedsiębiorstw i zwykłych użytkowników Androida.
