Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware HOOK-Android-Malware-Variante

HOOK-Android-Malware-Variante

Von Mezo in Mobile Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Variante des Android-Banking-Trojaners HOOK entdeckt. Diese verfügt nun über Ransomware-ähnliche Overlays, die Opfer erpressen sollen. Dies stellt eine deutliche Weiterentwicklung seiner Fähigkeiten dar und geht über herkömmliche Banking-Malware hinaus.

Overlay-Erpressung im Ransomware-Stil

Eine der auffälligsten Neuerungen der neuesten Variante ist die Möglichkeit, ein Ransomware-Overlay im Vollbildmodus anzuzeigen. Dieses Overlay zeigt eine bedrohliche „WARNUNG“-Meldung an, begleitet von einer dynamisch abgerufenen Wallet-Adresse und dem Lösegeldbetrag vom Command-and-Control-Server (C2).

Der Erpressungsbildschirm wird remote ausgelöst, wenn der C2-Server den Befehl „ransome“ sendet, und kann geschlossen werden, wenn der Angreifer die Anweisung „delete_ransome“ ausgibt.

Wurzeln im ERMAC Banking-Trojaner

HOOK gilt als direkter Ableger des Banking-Trojaners ERMAC, dessen Quellcode zuvor online geleakt wurde. Ähnlich wie ERMAC nutzt HOOK in hohem Maße die Bedienungshilfen und betrügerischen Overlay-Bildschirme von Android, um Anmeldeinformationen zu stehlen, Finanzbetrug zu automatisieren und die Kontrolle über infizierte Geräte zu übernehmen.

Erweiterte Spionage- und Ausbeutungsfunktionen

Neben dem Diebstahl von Anmeldeinformationen bietet HOOK eine Reihe von aufdringlichen Funktionen. Es kann:

  • Senden Sie SMS-Nachrichten an vom Angreifer kontrollierte Nummern.
  • Streamen Sie einen Live-Feed vom Bildschirm des Opfers.
  • Nehmen Sie Bilder mit der nach vorne gerichteten Kamera auf.
  • Stehlen Sie Cookies und Wiederherstellungsphrasen, die mit Kryptowährungs-Wallets verknüpft sind.

Diese Funktionen unterstreichen die Konvergenz von HOOK mit Spyware-Funktionen und bieten Angreifern umfassende Überwachungs- und Diebstahloptionen.

Erweiterung der Remote-Befehle

Die neueste Version von HOOK unterstützt 107 Remote-Befehle und 38 neue Funktionen. Diese verbessern die Fähigkeit, Benutzer zu täuschen und sensible Daten abzugreifen.

Zu den wichtigsten neuen Befehlen gehören:

  • ransome – Zeigt ein Overlay im Ransomware-Stil auf dem Gerät an
  • delete_ransome – Entfernt das Ransomware-Overlay
  • takenfc – Zeigt einen gefälschten NFC-Scan-Bildschirm zum Erfassen von Kartendaten
  • unlock_pin – Zeigt einen gefälschten Entsperrbildschirm an, um Geräte-PINs oder -Muster zu stehlen
  • takencard – Imitiert Google Pay, um Kreditkartendaten zu erbeuten
  • start_record_gesture – Verwendet eine transparente Überlagerung, um Benutzergesten aufzuzeichnen

Großflächige Vertriebskanäle

Forscher haben die Verbreitung von HOOK auf Phishing-Websites und betrügerische GitHub-Repositories zurückgeführt, die schädliche APK-Dateien hosten. Die Nutzung von GitHub zur Verbreitung von Malware ist nicht neu. Auch Familien wie ERMAC und Brokewell wurden über die Plattform verbreitet, was die wachsende Beliebtheit der Plattform unter Bedrohungsakteuren belegt.

Die Grenzen zwischen Malware-Kategorien verschwimmen

Die rasante Entwicklung von HOOK spiegelt einen beunruhigenden Trend bei mobilen Bedrohungen wider: die Konvergenz von Banking-Trojanern, Spyware und Ransomware-Techniken. Durch die ständige Erweiterung seiner Funktionen und die Verbreitung über groß angelegte Kampagnen stellt HOOK ein zunehmendes Risiko für Finanzinstitute, Unternehmen und normale Android-Nutzer dar.

Im Trend

Am häufigsten gesehen

Wird geladen...