Zimperium’un araştırması, Hook Android kötü amaçlı yazılımının artık kimlik avı ve GitHub dağıtım yoluyla veri çalmak için fidye yazılımı ve casus yazılım kullanan hibrit bir tehdit olduğunu ortaya koyuyor.
Mobil güvenlik firması Zimperium, mobil tehditlerde sofistike bir evrim hakkında yeni bir uyarı yayınladı. Zimperium’un ZLABS araştırma ekibi yakın zamanda Hook Banking Trojan olarak bilinen zararlı bir Android programının yeni bir varyantını keşfetti.
Bu yeni araştırma, mobil kullanıcılar için tehlikede büyük bir yükseliş vurgulayarak hackread.com ile paylaşıldı. Zimperium’un bulgularına göre, bir zamanlar bankacılık bilgilerini çalmakla sınırlı olan Hook, fidye yazılımı, casus yazılım ve geleneksel banka tutma özelliklerini birleştiren hibrit bir araca dönüştü.
Hook sürüm 3 olarak adlandırılan bu yeni varyant, bu güncellemede 38 yeni ekleme ile endişe verici bir 107 uzaktan komutu destekliyor. Bu, saldırganlara bir kurbanın mobil cihazı üzerinde benzeri görülmemiş bir kontrol seviyesi verir.
Kötü amaçlı yazılım kurbanlarını kandırmada oldukça etkilidir. Kullanıcıları, engelli insanlara yardımcı olmak için tasarlanmış bir özellik olan Android’in erişilebilirlik hizmetlerini etkinleştirmesine izin vererek, kötü amaçlı yazılım kötü amaçlı işlemlerini otomatikleştirebilir.
Ayrıca, pimleri ve diğer özel detayları yakalamak için sahte, şeffaf ekranlar kullanır. Örneğin, cihazın kilit ekranı üzerinde aldatıcı bir arayüz görüntüleyebilir ve kullanıcıyı güvenlik PIN veya desenine girmeye kandırır. Kredi kartı detaylarını çalmak için sahte bir Google Pay ekranı veya hassas verileri yakalamak için sahte bir NFC istemi gibi meşru uygulamaları bile taklit edebilir.
Kötü amaçlı yazılım sahte bir NFC istemi görüntüleyebilse de, kaynak kodunun bunun gelecekteki bir özellik olduğunu ve saldırganların hala aktif olarak kötü amaçlı yazılımları nasıl oluşturduğunu ve genişlettiğini gösterdiğini belirtmelidir.
Bilgi çalmak dışında, Hook da bir cihazın etkinliğini gerçek zamanlı olarak aktarabilir ve saldırgana kullanıcının yaptığı her şeyin canlı bir görünümünü verir. En tehlikeli yeni özelliklerden biri, fidye ödemesi talep eden tam ekran uyarı mesajı gösteren ekran kilitleme yeteneğidir. Bu mesaj için cüzdan adresi ve fidye miktarı, uzak bir sunucudan dinamik olarak alınır ve saldırıyı son derece uyarlanabilir hale getirir.
Canlı akış cihazı etkinliği tamamen yeni olmasa da, daha yaygın kötü amaçlı yazılım özelliklerine kıyasla hala nadir olduğunu belirtmek gerekir. Son zamanlarda, doktor web araştırmacıları bir Android kötü amaçlı yazılım gördüler. Android.Backdoor.916.originRus cihazlarını hedefleyen. Mikrofondan canlı akışlı ses ve kameradan video yayın yapabilir.
Öte yandan, Zimperium’un raporuna göre, Hook kötü amaçlı yazılım büyük ölçekte dağıtılıyor. Hala sahte web sitelerine yayılırken, araştırma, bilgisayar korsanlarının kötü amaçlı dosyaları barındırmak ve paylaşmak için GitHub gibi genel platformları kullandığını gösteriyor. Bu, suçluların kötü amaçlı yazılımları dağıtmasını kolaylaştırır ve araştırmacılar aynı tekniği kullanarak ERMAC ve Brokewell gibi diğer kötü amaçlı yazılım ailelerini gözlemlediler.
Kötü amaçlı yazılım geliştiricileri, daha güçlü iletişim için Rabbitmq ve Telegram gibi platformları kullanmak gibi gelecekteki yeteneklerin ipuçlarını bile içeriyor. Bunun gibi tehditler yayılmaya devam ettikçe, kişisel gizlilik, finansal sistemler ve özel şirketler için artan bir risk oluşturmaktadır.
Zimperium’un bulguları, mobil cihazlar artık giriş bilgilerinden veya bankacılık bilgilerinden daha fazlasını hedeflediğinden, şirketlerin ve bireylerin mobil güvenliği ciddiye almaları gerektiğini gösteriyor.