Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara HOOK Android-skadlig variant

HOOK Android-skadlig variant

Med Mezo år Mobil skadlig programvara
Översätt till:

Cybersäkerhetsforskare har identifierat en ny variant av Android-banktrojanen känd som HOOK, nu med ransomware-liknande överlagringar utformade för att utpressa offer. Detta markerar en betydande utveckling av dess kapacitet och tar den bortom traditionell bankskadlig programvara.

Utpressning i ransomware-stil med overlay

Ett av de mest slående tilläggen i den senaste varianten är dess förmåga att distribuera ett ransomware-överlägg i helskärm. Detta överlägg visar ett hotfullt "VARNING"-meddelande, åtföljt av en dynamiskt hämtad plånboksadress och lösenbelopp från kommando- och kontrollservern (C2).

Utpressningsskärmen utlöses på distans när C2-servern skickar kommandot 'ransome' och kan stängas av när angriparen utfärdar instruktionen 'delete_ransome'.

Rötter i ERMAC Banking Trojan

HOOK anses vara en direkt utlöpare av banktrojanen ERMAC, vars källkod tidigare läckt ut online. Precis som ERMAC förlitar sig HOOK i hög grad på Androids tillgänglighetstjänster och bedrägliga överlagringsskärmar för att stjäla inloggningsuppgifter, automatisera ekonomiska bedrägerier och ta kontroll över infekterade enheter.

Avancerade spionage- och exploateringsfunktioner

Utöver stöld av autentiseringsuppgifter har HOOK en mängd olika intrångsfunktioner. Det kan:

  • Skicka SMS-meddelanden till angriparkontrollerade nummer.
  • Streama ett liveflöde av offrets skärm.
  • Ta bilder med den framåtriktade kameran.
  • Stjäla cookies och återställningsfraser kopplade till kryptovalutaplånböcker.

Dessa funktioner belyser HOOKs konvergens med spionprogramsfunktioner, vilket ger angripare breda övervaknings- och stöldalternativ.

Utökning av fjärrkommandon

Den senaste versionen av HOOK stöder 107 fjärrkommandon, med 38 nya funktioner. Dessa förbättrar dess förmåga att lura användare och samla in känslig data.

Några av de mest anmärkningsvärda nya kommandona inkluderar:

  • ransome – Visar ett ransomware-liknande överlägg på enheten
  • delete_ransome – Tar bort ransomware-överlägget
  • takenfc – Visar en falsk NFC-skanningsskärm för att samla in kortdata
  • unlock_pin – Visar en falsk upplåsningsskärm för att stjäla enhetens PIN-koder eller mönster
  • takencard – Efterliknar Google Pay för att nätfiska kreditkortsuppgifter
  • start_record_gesture – Använder ett transparent överlägg för att spela in användargester

Storskaliga distributionskanaler

Forskare har spårat HOOKs distribution till nätfiskewebbplatser och bedrägliga GitHub-arkiv som lagrar skadliga APK-filer. Användningen av GitHub för distribution av skadlig kod är inte ny, familjer som ERMAC och Brokewell har också spridits via plattformen, vilket visar dess växande popularitet bland hotaktörer.

Sudda ut gränsen mellan kategorier av skadlig programvara

Den snabba utvecklingen av HOOK återspeglar en oroande trend inom mobila hot: konvergensen av banktrojaner, spionprogram och ransomware-tekniker. Genom att ständigt utöka sina funktioner och sprida sig genom storskaliga kampanjer utgör HOOK en eskalerande risk för finansinstitut, företag och vanliga Android-användare.

Trendigt

Mest sedda

Läser in...