HOOK Android Kötü Amaçlı Yazılım Varyantı
Siber güvenlik araştırmacıları, Android bankacılık trojanının HOOK olarak bilinen yeni bir türünü tespit etti. Bu tür, artık kurbanlardan para çalmak için tasarlanmış fidye yazılımı benzeri katmanlar içeriyor. Bu, geleneksel bankacılık kötü amaçlı yazılımlarının ötesine geçerek yeteneklerinde önemli bir evrimi işaret ediyor.
İçindekiler
Fidye Yazılımı Tarzında Kaplama Gaspı
En son sürümdeki en dikkat çekici yeniliklerden biri, tam ekran fidye yazılımı katmanının dağıtılabilmesidir. Bu katman, tehdit edici bir "UYARI" mesajının yanı sıra, komuta ve kontrol (C2) sunucusundan dinamik olarak alınan bir cüzdan adresi ve fidye miktarını görüntüler.
Gasp ekranı, C2 sunucusunun 'ransome' komutunu göndermesiyle uzaktan tetikleniyor ve saldırganın 'delete_ransome' talimatını vermesiyle kapatılabiliyor.
ERMAC Bankacılık Truva Atı’nın Kökleri
HOOK, kaynak kodu daha önce internete sızdırılan ERMAC bankacılık trojanının doğrudan bir uzantısı olarak kabul ediliyor. ERMAC gibi HOOK da kimlik bilgilerini çalmak, finansal dolandırıcılığı otomatikleştirmek ve virüslü cihazların kontrolünü ele geçirmek için Android'in erişilebilirlik hizmetlerine ve sahte kaplama ekranlarına büyük ölçüde güveniyor.
Gelişmiş Casusluk ve İstismar Özellikleri
HOOK, kimlik hırsızlığının yanı sıra çeşitli müdahaleci özelliklere de sahiptir. Şunları yapabilir:
- Saldırganların kontrolündeki numaralara SMS mesajları gönderin.
- Kurbanın ekranının canlı yayınını yapın.
- Ön kamerayı kullanarak görüntü yakalayın.
- Kripto para cüzdanlarına bağlı çerezleri ve kurtarma ifadelerini çalın.
Bu işlevler, HOOK'un casus yazılım yetenekleriyle birleştiğini ve saldırganlara geniş gözetim ve hırsızlık seçenekleri sunduğunu vurguluyor.
Uzaktan Komutların Genişletilmesi
HOOK'un en son sürümü, 38 yeni eklenen özellikle birlikte 107 uzaktan komutu destekliyor. Bu özellikler, kullanıcıları aldatma ve hassas verileri toplama yeteneğini artırıyor.
En dikkat çekici yeni komutlardan bazıları şunlardır:
- fidye yazılımı – Cihazda fidye yazılımı tarzında bir katman görüntüler
- delete_ransome – Fidye yazılımı kaplamasını kaldırır
- takenfc – Kart verilerini yakalamak için sahte bir NFC tarama ekranı gösterir
- unlock_pin – Cihaz PIN'lerini veya desenlerini çalmak için sahte bir kilit açma ekranı sunar
- takencard – Kredi kartı bilgilerini çalmak için Google Pay'i taklit eder
- start_record_gesture – Kullanıcı hareketlerini kaydetmek için şeffaf bir katman kullanır
Büyük Ölçekli Dağıtım Kanalları
Araştırmacılar, HOOK'un dağıtımını kimlik avı web sitelerine ve kötü amaçlı APK dosyaları barındıran sahte GitHub depolarına kadar takip ettiler. GitHub'ın kötü amaçlı yazılım dağıtımı için kullanılması yeni bir şey değil; ERMAC ve Brokewell gibi ailelerin de platform üzerinden yayılması, tehdit aktörleri arasında giderek artan popülaritesini gösteriyor.
Kötü Amaçlı Yazılım Kategorileri Arasındaki Sınırın Belirsizleştirilmesi
HOOK'un hızlı evrimi, mobil tehditlerdeki endişe verici bir eğilimi yansıtıyor: bankacılık truva atları, casus yazılımlar ve fidye yazılımı tekniklerinin bir araya gelmesi. Özelliklerini sürekli genişleterek ve geniş çaplı kampanyalarla yayarak HOOK, finans kurumları, işletmeler ve günlük Android kullanıcıları için giderek artan bir risk oluşturuyor.
