HOOK Android惡意軟體變種

行動惡意軟體年Mezo年

翻譯為：

網路安全研究人員發現了一種名為 HOOK 的 Android 銀行木馬新變種，現已具備勒索軟體風格的覆蓋功能，旨在勒索受害者。這標誌著其功能有了顯著提升，使其超越了傳統的銀行惡意軟體。

最新版本中最引人注目的新增功能之一是它能夠部署全螢幕勒索軟體覆蓋層。此覆蓋層會顯示威脅性的「警告」訊息，並附帶從命令與控制 (C2) 伺服器動態檢索的錢包位址和贖金金額。

當 C2 伺服器發送「ransome」指令時，勒索畫面會遠端觸發，而當攻擊者發出「delete_ransome」指令時，勒索畫面就會被關閉。

HOOK 被認為是 ERMAC 銀行木馬的直接衍生品，該木馬的原始碼先前已在網路上洩露。與 ERMAC 類似，HOOK 嚴重依賴 Android 的輔助功能服務和詐欺性覆蓋螢幕來竊取憑證、自動進行金融詐欺以及控制受感染裝置。

除了憑證盜竊之外，HOOK 還擁有多種侵入性功能。它可以：

這些功能凸顯了 HOOK 與間諜軟體功能的融合，為攻擊者提供了廣泛的監視和盜竊選擇。

HOOK 最新版本支援 107 個遠端指令，並新增 38 個功能。這些功能增強了其欺騙用戶和獲取敏感資料的能力。

一些最值得注意的新指令包括：

takenfc – 顯示偽造的 NFC 掃描畫面來擷取卡片數據

unlock_pin – 呈現虛假解鎖螢幕以竊取裝置 PIN 碼或圖案

takencard——模仿 Google Pay 釣魚獲取信用卡信息

start_record_gesture – 使用透明覆蓋來記錄使用者手勢

研究人員追蹤到 HOOK 的傳播途徑，發現它來自釣魚網站和託管惡意 APK 檔案的詐騙 GitHub 儲存庫。利用 GitHub 傳播惡意軟體並非新鮮事，ERMAC 和 Brokewell 等惡意軟體家族也曾透過該平台傳播，這表明它在威脅行為者中的受歡迎程度日益提升。

HOOK 的快速發展反映了行動威脅中一個令人擔憂的趨勢：銀行木馬、間諜軟體和勒索軟體技術的融合。透過不斷擴展其功能並透過大規模活動進行傳播，HOOK 對金融機構、企業和日常 Android 用戶構成了日益嚴重的風險。

搜索