HOOK Android恶意软件变种
网络安全研究人员发现了一种名为 HOOK 的 Android 银行木马新变种,该变种现已具备勒索软件风格的覆盖功能,旨在勒索受害者。这标志着其功能有了显著提升,使其超越了传统的银行恶意软件。
目录
勒索软件式覆盖勒索
最新版本中最引人注目的新增功能之一是它能够部署全屏勒索软件覆盖层。该覆盖层会显示一条威胁性的“警告”消息,并附带从命令与控制 (C2) 服务器动态检索的钱包地址和赎金金额。
当 C2 服务器发送“ransome”命令时,勒索屏幕会被远程触发,而当攻击者发出“delete_ransome”指令时,勒索屏幕就会被关闭。
ERMAC 银行木马的根源
HOOK 被认为是 ERMAC 银行木马的直接衍生品,该木马的源代码此前已在网上泄露。与 ERMAC 类似,HOOK 严重依赖 Android 的辅助功能服务和欺诈性覆盖屏幕来窃取凭证、自动进行金融欺诈以及控制受感染设备。
高级间谍和漏洞利用功能
除了凭证盗窃之外,HOOK 还拥有多种侵入性功能。它可以:
- 向攻击者控制的号码发送短信。
- 实时播放受害者的屏幕。
- 使用前置摄像头拍摄图像。
- 窃取与加密货币钱包相关的 cookie 和恢复短语。
这些功能凸显了 HOOK 与间谍软件功能的融合,为攻击者提供了广泛的监视和盗窃选择。
远程命令扩展
HOOK 最新版本支持 107 个远程命令,并新增了 38 个功能。这些功能增强了其欺骗用户和获取敏感数据的能力。
一些最值得注意的新命令包括:
- 勒索软件——在设备上显示勒索软件样式的覆盖层
- delete_ransome – 删除勒索软件覆盖
- takenfc – 显示伪造的 NFC 扫描屏幕来捕获卡数据
- unlock_pin – 呈现虚假解锁屏幕以窃取设备 PIN 码或图案
- takencard——模仿 Google Pay 钓鱼获取信用卡信息
- start_record_gesture – 使用透明覆盖来记录用户手势
大规模分销渠道
研究人员追踪到 HOOK 的传播途径,发现它来自钓鱼网站和托管恶意 APK 文件的欺诈性 GitHub 存储库。利用 GitHub 传播恶意软件并非新鲜事,ERMAC 和 Brokewell 等恶意软件家族也曾通过该平台传播,这表明它在威胁行为者中的受欢迎程度日益提升。
恶意软件类别之间的界限变得模糊
HOOK 的快速发展反映了移动威胁中一个令人担忧的趋势:银行木马、间谍软件和勒索软件技术的融合。通过不断扩展其功能并通过大规模活动进行传播,HOOK 对金融机构、企业和日常 Android 用户构成了日益严重的风险。
