HOOK Android Malware Variant

Studiuesit e sigurisë kibernetike kanë identifikuar një variant të ri të trojanit bankar për Android të njohur si HOOK, i cili tani paraqet mbivendosje në stilin e ransomware-it të dizajnuara për të zhvatur viktimat. Kjo shënon një evolucion të rëndësishëm në aftësitë e tij, duke e shtyrë atë përtej programeve tradicionale keqdashëse bankare.

Zhvatje me Mbivendosje në Stil Ransomware

Një nga shtesat më të habitshme në variantin më të fundit është aftësia e tij për të vendosur një mbivendosje të ransomware-it në ekran të plotë. Kjo mbivendosje shfaq një mesazh kërcënues 'PARALAJMËRIM', të shoqëruar nga një adresë portofoli të marrë në mënyrë dinamike dhe një shumë ransomware nga serveri i komandës dhe kontrollit (C2).

Ekrani i zhvatjes aktivizohet nga distanca kur serveri C2 dërgon komandën 'ransome' dhe mund të shpërfillet kur sulmuesi lëshon udhëzimin 'delete_ransome'.

Rrënjët në Trojanin Bankar ERMAC

HOOK konsiderohet një degëzim i drejtpërdrejtë i trojanit bankar ERMAC, kodi burimor i të cilit ishte publikuar më parë në internet. Ngjashëm me ERMAC, HOOK mbështetet shumë në shërbimet e aksesueshmërisë së Android dhe ekranet mashtruese të mbivendosjes për të vjedhur kredencialet, për të automatizuar mashtrimet financiare dhe për të marrë kontrollin e pajisjeve të infektuara.

Karakteristikat e Avancuara të Spiunazhit dhe Shfrytëzimit

Përtej vjedhjes së kredencialeve, HOOK krenohet me një sërë veçorish ndërhyrëse. Ai mund të:

• Dërgoni mesazhe SMS në numrat e kontrolluar nga sulmuesi.
• Transmetoni një transmetim të drejtpërdrejtë të ekranit të viktimës.
• Bëni fotografi duke përdorur kamerën e përparme.
• Vjedhni cookie-t dhe frazat e rikuperimit të lidhura me portofolet e kriptomonedhave.

Këto funksione nxjerrin në pah konvergjencën e HOOK me aftësitë e spiunazhit, duke u dhënë sulmuesve mundësi të gjera mbikëqyrjeje dhe vjedhjeje.

Zgjerimi i Komandave në Distancë

Versioni më i fundit i HOOK mbështet 107 komanda në distancë, me 38 aftësi të shtuara rishtazi. Këto rrisin aftësinë e tij për të mashtruar përdoruesit dhe për të mbledhur të dhëna të ndjeshme.

Disa nga komandat e reja më të spikatura përfshijnë:

• ransomware – Shfaq një mbivendosje në stilin e ransomware në pajisje
• delete_ransome – Heq mbulesën e ransomware-it
• takenfc – Shfaq një ekran skanimi të rremë NFC për të kapur të dhënat e kartës

• unlock_pin – Paraqet një ekran të rremë zhbllokimi për të vjedhur PIN-et ose modelet e pajisjes

• takencard – Imiton Google Pay për të kërkuar detajet e kartës së kreditit

• start_record_gesture – Përdor një mbivendosje transparente për të regjistruar gjestet e përdoruesit

Kanalet e Shpërndarjes në Shkallë të Gjerë

Studiuesit kanë gjurmuar shpërndarjen e HOOK në faqet e internetit të phishing dhe depot mashtruese të GitHub që strehojnë skedarë APK me qëllim të keq. Përdorimi i GitHub për shpërndarjen e malware nuk është i ri, familje të tilla si ERMAC dhe Brokewell janë përhapur gjithashtu përmes platformës, duke demonstruar popullaritetin e saj në rritje midis aktorëve kërcënues.

Duke zbehur vijën ndarëse midis kategorive të programeve keqdashëse

Evolucioni i shpejtë i HOOK pasqyron një trend shqetësues në kërcënimet mobile: konvergjencën e teknikave të trojanëve bankarë, spyware-ve dhe ransomware-eve. Duke zgjeruar vazhdimisht veçoritë e tij dhe duke u përhapur përmes fushatave në shkallë të gjerë, HOOK paraqet një rrezik në rritje për institucionet financiare, ndërmarrjet dhe përdoruesit e përditshëm të Android.