پژوهشگران امنیت سایبری گونه جدیدی از تروجان بانکی اندروید به نام HOOK را کشف کردهاند که از صفحهنمایشهای تمامصفحه به سبک باجافزار برای نمایش پیامهای اخاذی استفاده میکند.
به گزارش افتانا، ویشنو پراتاپگیری، پژوهشگر شرکت Zimperium zLabs، در این باره گفت: مهمترین ویژگی نسخه جدید، توانایی اجرای یک لایهتمامصفحه باجافزاری است که قربانی را وادار به پرداخت باج میکند. این لایه یک پیام هشداردهنده به همراه آدرس کیفپول و مبلغ قابل پرداخت نمایش میدهد که هر دو بهطور پویا از سرور فرمان و کنترل (C2) دریافت میشوند.
به گفته Zimperium، این لایه زمانی فعال میشود که سرور فرمان ransome را صادر کند و با ارسال دستور delete_ransome توسط مهاجم قابل حذف است.
HOOK منشأ خود را از تروجان بانکی ERMAC میگیرد؛ بدافزاری که کد منبع آن پیشتر در یک مخزن عمومی اینترنتی فاش شده بود. مانند دیگر بدافزارهای بانکی اندروید،HOOK نیز میتواند روی اپلیکیشنهای مالی، لایههای جعلی قرار دهد تا اطلاعات ورود کاربران را سرقت کند و از سرویسهای دسترسپذیری (Accessibility) برای خودکارسازی کلاهبرداری و کنترل از راه دور دستگاهها سوءاستفاده نماید.
این بدافزار علاوه بر موارد بالا، توانایی ارسال پیامک به شمارههای مشخص، پخش زندهی صفحه قربانی، گرفتن تصویر با دوربین جلو و سرقت کوکیها و عبارات بازیابی کیفپولهای رمزارزی را نیز دارد.
نسخه جدید HOOK پشتیبانی از ۱۰۷ فرمان از راه دور را ارائه میدهد که ۳۸ فرمان از جمله نمایش صفحه جعلی اسکن NFC برای خواندن داده کارتها، نمایش صفحه جعلی بازگشایی دستگاه برای سرقت الگوی قفل یا پین، نمایش رابط جعلی مشابه Google Pay برای جمعآوری اطلاعات کارت اعتباری و ضبط حرکات کاربر با استفاده از لایه شفاف تمامصفحه تازه به آن اضافه شده است.
پژوهشگران میگویند HOOK بهصورت گسترده از طریق وبسایتهای فیشینگ و مخازن جعلی GitHub منتشر میشود. خانوادههای بدافزاری دیگری مانند ERMAC و Brokewell نیز پیشتر از طریق GitHub توزیع شدهاند که نشاندهنده افزایش استفاده مهاجمان از این بستر است.
