Variant malvéru pre Android HOOK
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový variant bankového trójskeho koňa pre Android s názvom HOOK, ktorý teraz obsahuje prekrytia v štýle ransomvéru určené na vydieranie obetí. To predstavuje významný vývoj jeho schopností a posúva ho za hranice tradičného bankového malvéru.
Obsah
Vydieranie v štýle ransomvéru
Jedným z najvýraznejších doplnkov v najnovšej variante je jej schopnosť nasadiť celoobrazovkové prekrytie s ransomvérom. Toto prekrytie zobrazuje výhražnú správu „UPOZORNENIE“ spolu s dynamicky načítanou adresou peňaženky a výškou výkupného zo servera velenia a riadenia (C2).
Obrazovka s požiadavkou na vydieranie sa spustí na diaľku, keď server C2 odošle príkaz „ransome“ a možno ju zavrieť, keď útočník vydá inštrukciu „delete_ransome“.
Korene v bankovom trójskom koňovi ERMAC
HOOK sa považuje za priamu odnož bankového trójskeho koňa ERMAC, ktorého zdrojový kód bol predtým zverejnený online. Podobne ako ERMAC, aj HOOK sa vo veľkej miere spolieha na služby prístupnosti systému Android a podvodné prekrývajúce obrazovky na krádež prihlasovacích údajov, automatizáciu finančných podvodov a získanie kontroly nad infikovanými zariadeniami.
Pokročilé funkcie špionáže a zneužívania
Okrem krádeže prihlasovacích údajov sa HOOK môže pochváliť rôznymi rušivými funkciami. Dokáže:
- Posielajte SMS správy na čísla ovládané útočníkom.
- Streamujte živý prenos z obrazovky obete.
- Zachyťte obrázky pomocou predného fotoaparátu.
- Ukradnúť súbory cookie a frázy na obnovenie prepojené s kryptomenovými peňaženkami.
Tieto funkcie zdôrazňujú konvergenciu HOOK so schopnosťami spyware a poskytujú útočníkom široké možnosti sledovania a krádeže.
Rozšírenie vzdialených príkazov
Najnovšia verzia HOOK podporuje 107 vzdialených príkazov s 38 novými funkciami. Tieto funkcie zlepšujú jeho schopnosť klamať používateľov a zhromažďovať citlivé údaje.
Medzi najvýznamnejšie nové príkazy patria:
- ransomware – Zobrazí na zariadení prekrytie v štýle ransomvéru
- delete_ransome – Odstraňuje prekrytie ransomvéru
- takenfc – Zobrazuje falošnú obrazovku skenovania NFC na zachytenie údajov z karty
- unlock_pin – Zobrazí falošnú obrazovku odomknutia na ukradnutie PIN kódov alebo vzorov zariadenia
- takencard – Napodobňuje Google Pay na získanie údajov o kreditnej karte phishingom
- start_record_gesture – Používa priehľadné prekrytie na zaznamenávanie gest používateľa
Veľkoplošné distribučné kanály
Výskumníci vystopovali distribúciu škodlivého softvéru HOOK na phishingových webových stránkach a podvodných repozitároch GitHub, ktoré hostia škodlivé súbory APK. Používanie GitHub na distribúciu škodlivého softvéru nie je nové, prostredníctvom platformy sa rozšírili aj rodiny ako ERMAC a Brokewell, čo dokazuje jej rastúcu popularitu medzi aktérmi hrozbami.
Stieranie hranice medzi kategóriami malvéru
Rýchly vývoj škodlivého softvéru HOOK odráža znepokojujúci trend v oblasti mobilných hrozieb: konvergenciu bankových trójskych koní, spyware a ransomware techník. Neustálym rozširovaním svojich funkcií a šírením prostredníctvom rozsiahlych kampaní predstavuje škodlivý softvér HOOK rastúce riziko pre finančné inštitúcie, podniky a bežných používateľov systému Android.
