Nová varianta bankovního trojanu HOOK pro Android kombinuje schopnosti spyware a ransomwaru. Podle společnosti Zimperium zLabs dokáže tento malware zobrazit na celé obrazovce překryvná okna ve stylu ransomwaru s výhružnými zprávami a požadavkem na platbu. Funkce je aktivována vzdáleným příkazem „ransome“ ze serveru útočníků a lze ji odstranit příkazem „delete_ransome“.

HOOK, považovaný za odnož trojanu ERMAC, nadále využívá překryvy k získávání přihlašovacích údajů z finančních aplikací. Nová verze ale výrazně rozšiřuje možnosti – podporuje celkem 107 příkazů, z toho 38 nových. Patří mezi ně falešné obrazovky pro sběr PIN kódů, průhledné vrstvy pro zachytávání gest, podvodné překryvy napodobující NFC či Google Pay a mechanismy pro sběr údajů o platebních kartách.

Malware rovněž umožňuje vzdáleně odesílat SMS, pořizovat snímky obrazovky i fotografie z kamery, streamovat obrazovku a krást cookies nebo recovery fráze z kryptoměnových peněženek. Distribuuje se především prostřednictvím phishingových webů a podvodných repozitářů na GitHubu, což zapadá do širšího trendu šíření Android malwaru mimo oficiální obchody.

Bezpečnostní firmy upozorňují, že bankovní trojany jako HOOK se stále častěji překrývají se spywarem a ransomwarem, což zvyšuje riziko pro finanční instituce, podniky i běžné uživatele. Paralelně byla popsána i nová verze trojanu Anatsa, která nově cílí na více než 831 bankovních a kryptoměnových aplikací a využívá droppery maskované jako správci souborů.

Google uvádí, že v současnosti nebyly na Google Play detekovány aplikace s tímto malwarem. Uživatelé mají být chráněni službou Google Play Protect, která dokáže blokovat známé škodlivé aplikace i mimo oficiální obchod.

Zdroj: The Hacker News

Zdroj: IT SECURITY NETWORK NEWS  

Zdroj: ICT NETWORK NEWS