Вариант вредоносного ПО HOOK для Android
Исследователи кибербезопасности обнаружили новую версию банковского трояна для Android, известного как HOOK, который теперь включает в себя оверлеи в стиле программ-вымогателей, предназначенные для вымогательства средств. Это знаменует собой значительный прогресс в его возможностях, выводя его за рамки традиционного банковского вредоносного ПО.
Оглавление
Вымогательство с использованием оверлея в стиле программ-вымогателей
Одним из самых впечатляющих нововведений последней версии является возможность развертывания полноэкранного оверлея с программой-вымогателем. Этот оверлей отображает угрожающее сообщение «WARNING» («ПРЕДУПРЕЖДЕНИЕ»), а также динамически получаемый адрес кошелька и сумму выкупа с сервера управления (C2).
Экран вымогательства запускается удаленно, когда сервер C2 отправляет команду «вымогательство» и может быть закрыт, когда злоумышленник выдает команду «удалить_вымогательство».
Корни в банковском трояне ERMAC
HOOK считается прямым ответвлением банковского трояна ERMAC, исходный код которого ранее был опубликован в интернете. Как и ERMAC, HOOK активно использует специальные возможности Android и мошеннические экраны для кражи учётных данных, автоматизации финансового мошенничества и захвата управления заражёнными устройствами.
Расширенные возможности шпионажа и эксплуатации
Помимо кражи учетных данных, HOOK может похвастаться рядом дополнительных функций. Он может:
- Отправляйте SMS-сообщения на контролируемые злоумышленниками номера.
- Транслируйте в прямом эфире изображение с экрана жертвы.
- Делайте снимки с помощью фронтальной камеры.
- Украсть файлы cookie и фразы восстановления, связанные с криптовалютными кошельками.
Эти функции подчеркивают конвергенцию HOOK с возможностями шпионского ПО, предоставляя злоумышленникам широкие возможности для слежки и кражи.
Расширение удаленных команд
Последняя версия HOOK поддерживает 107 удалённых команд и 38 новых возможностей. Это расширяет возможности хакера по обману пользователей и сбору конфиденциальных данных.
Некоторые из наиболее примечательных новых команд включают в себя:
- ransome – отображает на устройстве оверлей в стиле программы-вымогателя
- delete_ransome – Удаляет слой вируса-вымогателя
- tookfc – показывает поддельный экран сканирования NFC для захвата данных карты.
- unlock_pin – отображает поддельный экран разблокировки для кражи PIN-кодов или графических ключей устройства.
- tookcard – имитирует Google Pay для фишинга данных кредитных карт
- start_record_gesture – использует прозрачный слой для записи жестов пользователя.
Крупномасштабные каналы сбыта
Исследователи отследили распространение HOOK через фишинговые сайты и мошеннические репозитории GitHub, размещающие вредоносные APK-файлы. Использование GitHub для распространения вредоносного ПО не ново: такие семейства, как ERMAC и Brokewell, также распространялись через эту платформу, что свидетельствует о её растущей популярности среди злоумышленников.
Размывание границ между категориями вредоносных программ
Стремительное развитие HOOK отражает тревожную тенденцию в сфере мобильных угроз: конвергенцию банковских троянов, шпионского ПО и программ-вымогателей. Постоянно расширяя свой функционал и распространяясь посредством масштабных кампаний, HOOK представляет собой растущий риск для финансовых учреждений, предприятий и обычных пользователей Android.
