A equipe de pesquisa do Zimperium Zlabs identificou uma nova variante sofisticada do Trojan do Hook Android Banking, marcando uma escalada significativa na sofisticação de ameaças móveis.
Essa iteração incorpora sobreposições no estilo Ransomware que exibem mensagens de extorsão, exigindo pagamentos por meio de endereços de carteira buscados dinamicamente do servidor de comando e controle (C2).
Ativado pelo comando “Ransome”, essas sobreposições de tela cheia incorporam conteúdo HTML diretamente dentro do APK, permitindo a demissão remota via “delete_ransome”.
Táticas de distribuição
O malware aprimora ainda mais seu engano com sobreposições falsas de NFC acionadas pelo comando “TakenFC”, empregando a tela completa da WebView para imitar as interfaces de varredura, preparadas para futuras injeções de JavaScript para exfiltrar dados sensíveis.
Os mecanismos de desvio da tela de bloqueio são particularmente avançados, utilizando avisos de pinos e padrão enganosos sobre sobreposições transparentes para capturar credenciais, permitindo Acesso não autorizado.
O comando “Unlock_pin” automatiza isso adquirindo wakelocks, simulando gestos de deslizamento e inserindo pinos fornecidos pelo servidor com torneiras de confirmação localizada.
Além disso, sobreposições fraudulentas de phishing, iniciadas por “Takencard”, replica interfaces do Google Pay para roubar detalhes do cartão de crédito através de formulários HTML incorporados, transmitindo entradas capturadas de volta ao C2.
Com base em sua base de abusar de serviços de acessibilidade do Android para fraude automatizada e controle remoto, o Hook V3 agora suporta um amplo comandos remotos 107, incluindo 38 novas adições.
Isso permite que a tela furtiva transmitisse por meio de “start_vnc” para monitoramento em tempo real, sobreposições transparentes para captura de gestos com “start_record_gesture” e interações programáticas como “OnPointevent” para simular, continuar e atualizar os gestos.
A distribuição ampliou além dos locais de phishing para explorar os repositórios do GitHub, onde os atores hospedam APKs maliciosos para Hook, Ermac, Brokewell e SMS Spyware.
Isso aproveita a legitimidade do Github para disseminação em larga escala, com o Zlabs monitorando vários repositórios mostrando variantes legadas e novas.
Insights técnicos
Do ponto de vista técnico, o gancho persiste através de receptores de transmissão para eventos SMS (Mitre T1624.001) e aumenta os privilégios por meio de permissões de administrador de dispositivos (T1626.001), permitindo redefinições de fábrica, alterações de pino/senha e incapacidade de tela.
As táticas de evasão de defesa incluem disfarce como aplicativos legítimos como o Google Chrome (T1655.001), UnInstallation (T1630.001), bloqueio do dispositivo via devicePolicyManager.lockNow () (T1629.002) e injeção de entrada para gestos e entrada de dados (T1516).
O acesso de credenciais é multifacetado e interceptando notificações para OTPs (T1517), KeyLogging (T1417.001), captura da GUI (T1417.002) e extração da área de transferência (T1414).
As funções de descoberta abrangem enumeração de arquivo/diretório (T1420), rastreamento de localização (T1430), listagem de aplicativos instalada (T1418), descoberta de conexão de rede (T1421) e coleta de informações do sistema (T1426).
Os recursos de coleta se estendem à captura de tela (T1513), acesso a dados locais (T1533), gravação de câmera/áudio (T1512/T1429), controle de chamadas (T1616) e exfiltração de registros de chamadas, contatos, SMS (T1636 Subtechniques), e relatórios (t4
O comando e controle depende do WebSocket para comunicação bidirecional (T1481.002) e resolução dinâmica (T1637), com dicas de integração futura do RabbitMQ para maior resiliência C2, incluindo credenciais codificadas.
De acordo com o relatórioOs traços de telegrama sugerem recursos em evolução para a transmissão de dados de injeção, embora incompletos (faltando IDs de bate -papo ou tokens de bot).
A exfiltração ocorre sobre os canais C2 (T1646), enquanto as técnicas de impacto envolvem encaminhamento/bloqueio de chamadas (T1616), manipulação de SMS (T1582) e roubo de credencial baseado em sobreposição (T1516).
A defesa de ameaças móveis de Zimperium (MTD) e o Zdefend fornecem detecção dinâmica no dispositivo contra o gancho, mesmo para variantes de marco, através da análise comportamental.
A colaboração com as partes interessadas levou à queda de um repositório do GitHub importante, reduzindo a distribuição.
Essa convergência de táticas bancárias de Trojan, Spyware e Ransomware ressalta riscos que crescem, desfocando limites de ameaças e exigindo proteções robustas de terminais para setores financeiros e corporativos.
Indicadores de compromisso
| Tipo | Indicador | Descrição |
|---|---|---|
| SHA-256 | por exemplo, 123ABC… (Hash de amostra) | Hash malicioso APK |
| Domínio C2 | por exemplo, maliciosoc2[.]com | Servidor de comando |
| Repo Github | por exemplo, /ator /malware-repo | Repositório de distribuição |
| Comando | Ransome | Sobreposição de ransomware de gatilhos |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!