Новата версия се е научила да транслира екрана на жертвата

Новата версия се е научила да транслира екрана на жертвата и да желае откуп, с цел да отключи устройството.

Мобилната екосистема на Android е изправена пред нова вълна от закани, провокирани от еволюцията на банковия троянец HOOK. Последната версия на този злотворен програмен продукт е обновена с уголемен набор от функционалности и се е трансформирала в хибрид, който съчетава шпионски програмен продукт, рансъмуер и принадлежности за дистанционно управление.

Първоначално HOOK е създаден като дериват на троянеца ERMAC, чийто първоначален код преди време изтече в общественото пространство. От самото начало той бе насочен към кражба на удостоверителни данни от банковите приложения, като използваше подправени наслагвания върху интерфейсите, с цел да улавя паролите и данните от картите. Но обновената версия на компилацията доста уголемява функционалността.

Троянецът към този момент поддържа 107 отдалечени команди, в това число 38 нови, което го издига на напълно ново равнище на опасност. Сред нововъведенията е опцията за проявление на „ криптирани “ припокривания на целия екран със известие за хипотетично заключено устройство и искане за откуп. Данните за сумата и портфейла с криптовалута атакуващите изпращат динамично от надзорен сървър, а наслагването се ръководи отдалечено.

Новите функционалности включват генериране на подправени екрани за хващане на ПИН кода или модел за отключване, подражаване на интерфейса на Гугъл Pay за събиране на данни за картата, транспарантни наслагвания за записване на жестовете и даже подправени прозорци за сканиране на NFC за кражба на данни от безконтактните карти.

Освен това троянецът може да транслира изображението на екрана на жертвата, да прави фотоси от предната камера, да прихваща SMS-ите, да краде бисквитки и тайните изречения за възобновяване на криптопортфейл. Заразяването най-често става посредством фишинг уеб сайтове и подправени складове в GitHub, където се разгласяват зловредни APK файлове под прикритието на законни приложения.

Според Zimperium необятното потребление на HOOK отразява наклонност, при която банковите троянски коне от ден на ден съчетават функционалностите на шпионски програмен продукт и програмен продукт за откуп, размивайки границите сред категориите закани. Тази тактика разрешава на нападателите да управляват устройствата, да крадат пари и персонални данни и да блокират достъпа до смарт телефона, принуждавайки притежателя да заплати.

Междувременно Zscaler отбелязва ускореното развиване на банковия троянец Anatsa, чийто брой е повишен до 831 цели, в това число банки и криптографски услуги. Той се популяризира посредством подправени файлови мениджъри в Гугъл Play, които маскират зловредния код. Идентифицирани са общо 77 инфектирани приложения, в това число Joker и Harly, които са конфигурирани повече от 19 милиона пъти.

Актуализираните версии на HOOK и Anatsa показват една обща наклонност: мобилните троянски коне се трансформират в универсални принадлежности, съчетаващи кражба на финансови данни, скрито наблюдаване, изнудване и отдалечен надзор на устройствата. Мащабът на опасността нараства, а методите на разпространяване стават все по-усъвършенствани, което усилва рисковете за потребителите, финансовите организации и корпоративните мрежи.