Новая версия банковского трояна HOOK для Android теперь оснащена функцией программы-вымогателя, которая полностью блокирует экран устройства и отображает сообщение с требованием выкупа. Исследовательская группа Zimperium zLabs, под руководством специалиста Вишну Пратапагири, обнаружила, что троян выводит на экран жертвы оверлей с заголовком "WARNING", адресом криптовалютного кошелька и суммой выкупа. Эти данные динамически загружаются с командно-контрольного (C2) сервера. Для управления этой функцией злоумышленники используют две команды:
Троян HOOK считается производным от банковского вредоносного ПО ERMAC, исходный код которого ранее утек в открытый доступ. Стандартный функционал HOOK включает демонстрацию поддельных экранов входа поверх легитимных финансовых приложений для кражи учетных данных. Вирус также злоупотребляет службами специальных возможностей Android (Accessibility Services), чтобы автоматизировать мошеннические действия и получить полный удаленный контроль над устройством.
Последнее обновление HOOK значительно расширило его арсенал. Общее количество удаленных команд достигло 107, из которых 38 были добавлены недавно. Среди новых возможностей — использование прозрачных оверлеев для отслеживания жестов пользователя, таких как нажатия и свайпы. Кроме того, троян научился отображать поддельные оверлеи NFC, чтобы обманом заставить жертву поделиться конфиденциальными данными, и выводить обманные запросы для кражи PIN-кода или графического ключа блокировки экрана.
Возможности HOOK выходят за рамки финансового мошенничества и приближают его к шпионскому ПО. Троян способен отправлять SMS-сообщения, вести прямую трансляцию экрана жертвы, делать снимки с помощью фронтальной камеры, а также похищать файлы cookie и фразы для восстановления из криптовалютных кошельков. Распространение этого вируса, а также родственных семейств ERMAC и Brokewell, часто происходит через платформу GitHub.
Аналитики Zimperium отмечают, что эволюция HOOK демонстрирует опасную конвергенцию угроз. Границы между банковскими троянами, шпионским ПО и программами-вымогателями стираются, что создает повышенный риск как для конечных пользователей, так и для финансовых институтов.
Другой известный банковский троян, Anatsa (также известный как TeaBot), также демонстрирует активное развитие. По данным отчета Zscaler's ThreatLabs, подготовленного исследователем Химаншу Шармой, Anatsa теперь нацелен на более чем 831 банковский и криптовалютный сервис по всему миру, тогда как ранее их число составляло 650. География атак расширилась, включив Германию и Южную Корею, а список целей пополнился более чем 150 новыми финансовыми приложениями.
Anatsa использует продвинутые методы для обхода защиты магазина Google Play. Вместо динамической загрузки вредоносного кода (DEX-файла) с удаленного сервера, троян распространяется через приложение-дроппер, маскирующееся, например, под файловый менеджер с именем пакета
После установки Anatsa запрашивает доступ к службам специальных возможностей Android. Получив его, вирус самостоятельно предоставляет себе разрешения на отправку и получение SMS, а также на отображение окон поверх других приложений, что необходимо для кражи данных.
Масштаб проблемы вредоносного ПО в Google Play остается значительным. Только специалисты Zscaler выявили 77 вредоносных приложений, которые в совокупности были установлены более 19 миллионов раз. Среди обнаруженных семейств вредоносов — Anatsa, Joker и Harly. Для описания таких приложений вводится новый термин — "Maskware". Это категория программ, которые выглядят легитимными, но используют обфускацию, динамическую загрузку кода или маскировку для сокрытия вредоносного содержимого от модераторов магазинов приложений.
Вредонос Harly, являющийся вариантом известного трояна Joker, был впервые идентифицирован специалистами «Лаборатории Касперского» в 2022 году. Угроза остается актуальной: в марте текущего года компания Human Security обнаружила в Google Play Store 95 новых вредоносных приложений, содержащих код Harly.
ransome для активации блокировки и delete_ransome для ее снятия. Изображение носит иллюстративный характер
Троян HOOK считается производным от банковского вредоносного ПО ERMAC, исходный код которого ранее утек в открытый доступ. Стандартный функционал HOOK включает демонстрацию поддельных экранов входа поверх легитимных финансовых приложений для кражи учетных данных. Вирус также злоупотребляет службами специальных возможностей Android (Accessibility Services), чтобы автоматизировать мошеннические действия и получить полный удаленный контроль над устройством.
Последнее обновление HOOK значительно расширило его арсенал. Общее количество удаленных команд достигло 107, из которых 38 были добавлены недавно. Среди новых возможностей — использование прозрачных оверлеев для отслеживания жестов пользователя, таких как нажатия и свайпы. Кроме того, троян научился отображать поддельные оверлеи NFC, чтобы обманом заставить жертву поделиться конфиденциальными данными, и выводить обманные запросы для кражи PIN-кода или графического ключа блокировки экрана.
Возможности HOOK выходят за рамки финансового мошенничества и приближают его к шпионскому ПО. Троян способен отправлять SMS-сообщения, вести прямую трансляцию экрана жертвы, делать снимки с помощью фронтальной камеры, а также похищать файлы cookie и фразы для восстановления из криптовалютных кошельков. Распространение этого вируса, а также родственных семейств ERMAC и Brokewell, часто происходит через платформу GitHub.
Аналитики Zimperium отмечают, что эволюция HOOK демонстрирует опасную конвергенцию угроз. Границы между банковскими троянами, шпионским ПО и программами-вымогателями стираются, что создает повышенный риск как для конечных пользователей, так и для финансовых институтов.
Другой известный банковский троян, Anatsa (также известный как TeaBot), также демонстрирует активное развитие. По данным отчета Zscaler's ThreatLabs, подготовленного исследователем Химаншу Шармой, Anatsa теперь нацелен на более чем 831 банковский и криптовалютный сервис по всему миру, тогда как ранее их число составляло 650. География атак расширилась, включив Германию и Южную Корею, а список целей пополнился более чем 150 новыми финансовыми приложениями.
Anatsa использует продвинутые методы для обхода защиты магазина Google Play. Вместо динамической загрузки вредоносного кода (DEX-файла) с удаленного сервера, троян распространяется через приложение-дроппер, маскирующееся, например, под файловый менеджер с именем пакета
"com.synexa.fileops.fileedge_organizerviewer". Этот дроппер напрямую устанавливает основной троянский модуль. Сам вредоносный DEX-файл скрывается внутри поврежденных архивов, которые распаковываются и развертываются только во время выполнения программы. После установки Anatsa запрашивает доступ к службам специальных возможностей Android. Получив его, вирус самостоятельно предоставляет себе разрешения на отправку и получение SMS, а также на отображение окон поверх других приложений, что необходимо для кражи данных.
Масштаб проблемы вредоносного ПО в Google Play остается значительным. Только специалисты Zscaler выявили 77 вредоносных приложений, которые в совокупности были установлены более 19 миллионов раз. Среди обнаруженных семейств вредоносов — Anatsa, Joker и Harly. Для описания таких приложений вводится новый термин — "Maskware". Это категория программ, которые выглядят легитимными, но используют обфускацию, динамическую загрузку кода или маскировку для сокрытия вредоносного содержимого от модераторов магазинов приложений.
Вредонос Harly, являющийся вариантом известного трояна Joker, был впервые идентифицирован специалистами «Лаборатории Касперского» в 2022 году. Угроза остается актуальной: в марте текущего года компания Human Security обнаружила в Google Play Store 95 новых вредоносных приложений, содержащих код Harly.
