Biến thể phần mềm độc hại HOOK Android

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một biến thể mới của trojan ngân hàng trên Android, được gọi là HOOK, hiện có các lớp phủ kiểu ransomware được thiết kế để tống tiền nạn nhân. Điều này đánh dấu một bước tiến đáng kể về khả năng của nó, vượt xa các phần mềm độc hại ngân hàng truyền thống.

Tống tiền theo kiểu Ransomware

Một trong những bổ sung đáng chú ý nhất trong biến thể mới nhất là khả năng triển khai lớp phủ ransomware toàn màn hình. Lớp phủ này hiển thị thông báo 'CẢNH BÁO' mang tính đe dọa, kèm theo địa chỉ ví được truy xuất động và số tiền chuộc từ máy chủ chỉ huy và kiểm soát (C2).

Màn hình tống tiền được kích hoạt từ xa khi máy chủ C2 gửi lệnh 'tiền chuộc' và có thể bị tắt khi kẻ tấn công đưa ra lệnh 'delete_ransome'.

Nguồn gốc của Trojan ngân hàng ERMAC

HOOK được coi là một nhánh trực tiếp của trojan ngân hàng ERMAC, với mã nguồn trước đây đã bị rò rỉ trực tuyến. Giống như ERMAC, HOOK phụ thuộc rất nhiều vào các dịch vụ trợ năng và màn hình che phủ gian lận của Android để đánh cắp thông tin đăng nhập, tự động hóa gian lận tài chính và chiếm quyền kiểm soát các thiết bị bị nhiễm.

Tính năng gián điệp và khai thác nâng cao

Ngoài việc đánh cắp thông tin đăng nhập, HOOK còn có nhiều tính năng xâm nhập khác. Nó có thể:

• Gửi tin nhắn SMS đến các số điện thoại do kẻ tấn công kiểm soát.
• Phát trực tiếp màn hình của nạn nhân.
• Chụp ảnh bằng camera trước.
• Đánh cắp cookie và cụm từ khôi phục được liên kết với ví tiền điện tử.

Các chức năng này làm nổi bật sự hội tụ của HOOK với khả năng của phần mềm gián điệp, mang đến cho kẻ tấn công nhiều lựa chọn giám sát và trộm cắp.

Mở rộng lệnh từ xa

Phiên bản mới nhất của HOOK hỗ trợ 107 lệnh từ xa, với 38 tính năng mới được bổ sung. Những tính năng này giúp tăng cường khả năng đánh lừa người dùng và thu thập dữ liệu nhạy cảm.

Một số lệnh mới đáng chú ý nhất bao gồm:

• ransome – Hiển thị lớp phủ kiểu ransomware trên thiết bị
• delete_ransome – Xóa lớp phủ ransomware
• takenfc – Hiển thị màn hình quét NFC giả để thu thập dữ liệu thẻ

• unlock_pin – Hiển thị màn hình mở khóa giả để đánh cắp mã PIN hoặc hình vẽ của thiết bị

• takencard – Mô phỏng Google Pay để lừa đảo lấy thông tin thẻ tín dụng

• start_record_gesture – Sử dụng lớp phủ trong suốt để ghi lại cử chỉ của người dùng

Kênh phân phối quy mô lớn

Các nhà nghiên cứu đã lần theo dấu vết phát tán của HOOK đến các trang web lừa đảo và kho lưu trữ GitHub giả mạo lưu trữ các tệp APK độc hại. Việc sử dụng GitHub để phát tán phần mềm độc hại không phải là mới, các họ mã độc như ERMAC và Brokewell cũng đã được phát tán thông qua nền tảng này, cho thấy mức độ phổ biến ngày càng tăng của nó trong giới tin tặc.

Làm mờ ranh giới giữa các loại phần mềm độc hại

Sự phát triển nhanh chóng của HOOK phản ánh một xu hướng đáng lo ngại trong các mối đe dọa di động: sự hội tụ của các kỹ thuật trojan ngân hàng, phần mềm gián điệp và ransomware. Bằng cách liên tục mở rộng tính năng và lan truyền qua các chiến dịch quy mô lớn, HOOK đang gây ra rủi ro ngày càng gia tăng cho các tổ chức tài chính, doanh nghiệp và người dùng Android hàng ngày.