Hook Android Bankacılık Trojan’ın sofistike yeni bir varyantı, bugüne kadar gözlemlenen en gelişmiş mobil kötü amaçlı yazılım aileleri arasında yer alan eşi görülmemiş yeteneklerle ortaya çıktı.
Bu son sürüm olan Hook sürüm 3, Android bankacılık kötü amaçlı yazılım sofistike önemli bir evrimi temsil eder ve bankacılık truva atları, fidye yazılımı ve casus yazılımlar arasındaki geleneksel sınırları bulanıklaştıran 38 yeni eklenen işlevsellik ile 107 uzaktan komutun kapsamlı bir cephaneliği sunar.
Kötü amaçlı yazılımların dağıtım stratejisi, tehdit aktörlerinin kötü amaçlı APK dosyalarını barındırmak ve yaymak için platformun meşruiyetini aktif olarak kullandığı GitHub depolarını içerecek şekilde geleneksel kimlik avı web sitelerinin ötesine geçti.
Bu yaklaşım, mağdurların saygın platformlarda barındırılan uygulamalara güvenme olasılığı daha yüksek olduğundan, saldırganlara daha fazla güvenilirlik ve daha geniş erişim sağlar.
GitHub dağıtım yöntemi, ermac ve brookewell de dahil olmak üzere diğer kötü amaçlı yazılım ailelerine ev sahipliği yaparak, hizmet olarak kötü amaçlı yazılım operasyonlarına sistematik bir yaklaşım olduğunu göstermiştir.
Zimperium analistleri, fidye yazılımı tarzı bindirme saldırıları, hileli NFC arayüzleri ve sofistike kilit ekranı bypass mekanizmaları dahil olmak üzere bu varyantı öncekilerden ayıran çeşitli çığır açan yetenekler belirledi.
.webp)
Kötü amaçlı yazılım, Sessiz Kullanıcı Hareketi Yakalama ve Saldırganlara benzeri görülmemiş cihaz kontrolü sağlayan gerçek zamanlı ekran akış özellikleri için şeffaf kaplamalar getirirken Android Erişilebilirlik Hizmetleri Kötüye Kullanımında temelini sürdürür.
Gelişmiş Overlay Saldırı Mekanizmaları
Hook sürüm 3’ün en dikkat çekici ilerlemesi, hassas kullanıcı verilerini yakalamak için birden fazla aldatma katmanını uygulayan sofistike kaplama saldırısı sisteminde yer alır.
Fidye yazılımı tarzı yer paylaşım işlevleri, cüzdan adresleri ve komut ve kontrol sunucularından dinamik olarak alınan tutarlarla kripto para ödemeleri talep eden tam ekran uyarı mesajları dağıtır.
.webp)
APK içindeki gömülü HTML içeriği, “Ransome” komutu alındığında derhal dağıtım sağlarken, “delete_ransome” komutu uzaktan işten çıkarılmaya izin verir.
Sahte NFC yer paylaşımı sistemi, tam ekran web görünümleri kullanarak aldatıcı yakın iletişim tarama ekranları oluşturan “TakenFC” komutu aracılığıyla kötü amaçlı yazılımların gelişen yeteneklerini gösterir.
.webp)
Mevcut uygulama, veri açığa çıkması için tam JavaScript entegrasyonuna sahip olmasa da, varlığı kapsamlı NFC tabanlı sosyal mühendislik saldırılarına yönelik devam eden gelişimi göstermektedir.
Belki de en önemlisi, kaplama tekniklerini programlı cihaz kilidini açma ile birleştiren kilit ekranı bypass mekanizmasıdır.
“Unlock_pin” komut sırası, Wakelock ayrıcalıklarını elde eder, kilit ekranlarını ortaya çıkarmak için kaydırma hareketleri gerçekleştirir ve yakalanan pimleri simüle edilmiş düğme presleri yoluyla sistematik olarak girer, Android’in birincil güvenlik bariyerini etkili bir şekilde atlatır ve saldırganlara sonraki kötü niyetli faaliyetler için tam cihaz erişimi verir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.