Hook Android 银行木马已收到重大更新,在其本已强大的监视和欺诈工具库中又添加了勒索软件式的敲诈勒索功能。
Zimperium 的 zLabs 研究团队已将“Hook v3”确定为迄今为止最先进的恶意软件版本,它拥有 38 个新的远程命令,使其超越了传统的银行威胁,进入了间谍软件和勒索软件领域。
Hook 最初由 ThreatFabric 发现,此前与 Ermac 恶意软件家族关联,传统上通过远程控制受感染的 Android 设备进行金融诈骗。最新版本的 Hook 大幅提升了威胁级别。
其新功能之一是全屏勒索软件覆盖层,模仿传统的勒索信,显示威胁性信息并要求通过加密货币付款,钱包地址和金额会从其命令与控制 (C2) 基础设施中动态获取。
此覆盖层通过 ransome 命令部署,并可通过发出 delete_ransome 指令远程删除。
Hook 的新赎金覆盖
Hook 持续滥用 Android 的辅助功能服务,自动化用户操作、劫持会话并隐蔽地收集凭证。目前,它总共支持 107 条命令,允许攻击者实时流式传输设备屏幕、模拟用户手势、绕过锁屏以及部署钓鱼覆盖层。
Zimperium 的调查显示,Hook 不仅通过钓鱼网站传播,还通过公共 GitHub 代码库进行传播。恶意 APK 文件与其他 Android 恶意软件家族(例如 Brokewell 和 Ermac)一起托管。
这种传播方式增加了恶意软件对更多威胁行为者的可访问性,也凸显了代码库安全防护和主动平台审核的重要性。
Hook v3 还引入了伪造的 NFC 覆盖层 (takenfc),旨在诱骗用户泄露敏感数据。这些覆盖层使用全屏 WebView 组件,并设置 JavaScript 接口以进行潜在的数据捕获。不过 Zimperium 指出,部分实现仍未完成,这表明该恶意软件仍在持续开发中。
同样,该恶意软件可以通过覆盖层(pincodep 和 patternp)模拟 Android 锁屏,窃取 PIN 码和解锁图案,然后使用 unlock_pin 命令远程解锁设备。
Google Pay 钓鱼覆盖
Hook 还能针对 Google Pay(takencard)等应用以及 MetaMask、Trust Wallet 和 Coinbase 等加密货币钱包,启动钓鱼覆盖层,以凭证和种子短语为目标。
其键盘记录器、屏幕录制和摄像头控制功能使其能够充当间谍软件,捕获音频、屏幕内容,甚至使用前置摄像头拍摄受害者的照片。
字符串和命令结构表明该恶意软件最终可能会利用 Telegram 机器人进行额外的命令传播,尽管目前尚未观察到功能实现。
Hook 的起源可以追溯到它曾经公开出售的地下恶意软件市场,但根据观察到的功能和基础设施的一致性,当前的变体似乎受到更集中的控制。
Zimperium 报告称,它已与行业合作伙伴合作删除了至少一个用于分发 Hook 的 GitHub 存储库,但警告称该木马仍然是一个活跃的威胁。
扫一扫
1158
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
